Добрый день, снова проверил утилитой dr web cure it систему и снова обнаружееы угрозы 8, им же их удалил помогите проверить систему и избавиться от угроз

Уважаемый(ая) Asymetrix, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).

Прошлую тему ещё не закрыли, ав Вы частично то же самое нахватали.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки (всё, что найдётся из списка) (http://virusinfo.info/showthread.php?t=4491):
O4 - HKCU\..\Run: [bobro] = C:\Windows\system32\cmd.exe /c start vvv.dongdonger.org (sign: 'Microsoft')
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System: [EnableLUA] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O22 - Tasks: bobro - C:\Windows\System32\cmd.exe /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v bobro /t REG_SZ /d "cmd.exe /c start vvv.dongdonger.org" /f (sign: 'Microsoft')
O22 - Tasks: EdgeUpdate - C:\Windows\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft')
Сделайте лог Malwarebytes AdwCleaner (https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546).

выполнил, не нашел только предпоследнюю строчку в hijack

Лог FRST сделайте.

выполнил

12-03-2025 18:55:02 Revo Uninstaller's restore point - Kaspersky
12-03-2025 18:56:31 Revo Uninstaller's restore point - Malwarebytes version 5.2.5.158Антивирусы удалять нужно только штатными средствами, если деинсталлятор не отработал - есть средства удаления рт антивирусных вендоров.

Выделите и скопируйте в буфер обмена следующий код:
Start::
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
Task: {B6C2BE3A-A38C-4245-97AF-78A85808244B} - System32\Tasks\EdgeUpdate => C:\Windows\system32\cmd.exe [289792 2024-05-18] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
Task: {67D188C9-C22B-4FCC-8470-48270083E9C1} - System32\Tasks\EdgeUpdateTaskUser => C:\Windows\System32\wscript.exe [197120 2025-01-15] (Microsoft Windows -> Microsoft Corporation) -> /b "C:\ProgramData\Microsoft\wext.vbs" <==== ВНИМАНИЕ
Task: {48319F63-C2C6-4904-BF44-12EEAD412FAA} - System32\Tasks\NodeUpdate => C:\Windows\System32\wscript.exe [197120 2025-01-15] (Microsoft Windows -> Microsoft Corporation) -> //nologo //B "C:\Program Files (x86)\Node\nodeupdate.vbs" <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\wext.vbs
C:\Users\bobro\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bohnfmnfgempfpmhanjabfapnp hdpjeb
C:\Users\bobro\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jdemplpkclhibfaaeidioijopp mnohpi
C:\Users\bobro\AppData\Local\Google\Chrome\User Data\Default\Extensions\klmglikgommmjlooajkbplfaio cnfkne
2025-03-12 19:04 - 2025-03-12 19:04 - 000000037 _____ C:\Output.txt
2025-03-12 11:11 - 2025-03-12 11:11 - 000000344 _____ C:\Users\bobro\node.dat
2025-03-12 11:08 - 2025-03-13 11:32 - 000012063 _____ C:\Users\bobro\ex-list2.json
2025-03-12 11:08 - 2025-03-13 11:32 - 000000383 _____ C:\Users\bobro\bs-list.json
2025-03-12 11:08 - 2025-03-12 11:11 - 000000000 ____D C:\Program Files (x86)\Node
2025-03-12 11:08 - 2025-03-12 11:08 - 000000207 _____ C:\Users\bobro\e-user.json
2025-03-12 11:08 - 2025-03-12 11:08 - 000000103 _____ C:\Users\bobro\e-country.json
File: B:\qBittorrent\qbittorrent.exe
FirewallRules: [{F82B8D76-2F05-4F6E-B72B-A75C8160E85F}] => (Allow) D:\overwolf\0.270.0.10\OverwolfBrowser.exe => Нет файла
FirewallRules: [{75F4B2AE-CF85-4B46-B36B-986C6AC78668}] => (Allow) D:\overwolf\0.270.0.10\OverwolfBrowser.exe => Нет файла
FirewallRules: [{DFBB25D9-5BF7-42A8-AB1F-0CA7FAD244DB}] => (Block) D:\overwolf\0.270.0.10\OverwolfBrowser.exe => Нет файла
FirewallRules: [{C8EA9D66-013E-4890-A1B2-A69822BB5BCF}] => (Block) D:\overwolf\0.270.0.10\OverwolfBrowser.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
endbatch:
CreateRestorePoint:
Reboot:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Скачайте утилиту Universal Virus Sniffer отсюда (https://yadi.sk/d/6A65LkI1WEuqC) и сделайте полный образ автозапуска uVS (https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810).

все выполнил

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltmp
del %SystemDrive%\USERS\BOBRO\APPDATA\ROAMING\MICROSOF T\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\INTERNET EXPLORER.LNK
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\113.0.5672.64\RESO URCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\GOOGLE\CHR OME\USER DATA\DEFAULT\EXTENSIONS\FPBLDMGPAEJOIPEGEFOBOPFCAP GADNJK\35.18_0\ADGUARD АНТИБАННЕР
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\GOOGLE\CHR OME\USER DATA\DEFAULT\EXTENSIONS\KHODKMLFCGCCPBOPJMIFFEHGKO FOGODM\10.2.4_0\CHROME REMOTE DESKTOP
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\GOOGLE\CHR OME\USER DATA\DEFAULT\EXTENSIONS\KLMGLIKGOMMMJLOOAJKBPLFAIO CNFKNE\35.18_0\CHROME REMOTE DESKTOP
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\113.0.5672.64\RESO URCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.35\RESO URCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RES OURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\MICROSOFT\ EDGE\USER DATA\DEFAULT\EXTENSIONS\APBIJPBBMIEKJCJGJKOFJGLGGF HAKAOM\35.19_0\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RES OURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RES OURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RES OURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RES OURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RES OURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RES OURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\MICROSOFT\ EDGE\USER DATA\DEFAULT\EXTENSIONS\KGNNPEACBDGJBPJNJMHHMBNJIA MMJAFE\35.20_0\EDGE RELEVANT TEXT CHANGES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RES OURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\112.0.1722.68\RES OURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.51\RES OURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\MICROSOFT\ EDGE\USER DATA\DEFAULT\EXTENSIONS\BOHNFMNFGEMPFPMHANJABFAPNP HDPJEB\35.20_0\WEBRTC EXTENSION
delref %SystemDrive%\USERS\BOBRO\APPDATA\LOCAL\MICROSOFT\ EDGE\USER DATA\DEFAULT\EXTENSIONS\JDEMPLPKCLHIBFAAEIDIOIJOPP MNOHPI\35.19_0\WEBRTC EXTENSION
apply
restart
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Сделайте проверку с помощью KVRT (https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool). Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

все выполнил

Порядок. Отчего рецидив был, неясно, что-то повторно запустили нехорошее.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

спасибо большое