Стал шуметь новый ноутбук,редактор реестра мгновенно закрывается,не установить NETFrameWork 3.5

Printable View

27.03.2025, 14:18
Aleksey1993

Вложений: 1

Стал шуметь новый ноутбук,редактор реестра мгновенно закрывается,не установить NETFrameWork 3.5

Здравствуйте.Помогите вычислить,вероятно,вредоносное ПО.При установке различных программ на новый ноутбук (мю торрент,архиватор,КМС активатор) внезапно стал постоянно шуметь ноутбук.Шумит обычно только при подключённом интернете.Диспетчер задач показывает 100 % загрузку ЦП и тут же загрузка снижается,шум прекращается.Редактор реестра открывается и тут же закрывается.При попытке установить ту же NetFrameWork 3.5 (нужна для одного,старого приложения) центр обновлений виндовс начинает загрузку и прекращает её с ошибкой.
27.03.2025, 14:19
Info_bot

Уважаемый(ая) [B]Aleksey1993[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.03.2025, 15:01
Sandor

Здравствуйте!

[quote="Aleksey1993;1533317"]КМС активатор[/quote]
Это и есть вероятнее всего источник. Т.е. майнер шёл с ним в комплекте.

[URL="https://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:

[CODE]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe', '');
QuarantineFile('C:\ProgramData\xxubhctopuuh\uqpllctchben.exe', '');
DeleteFile('C:\ProgramData\Google\Chrome\updater.exe', '64');
DeleteFile('C:\ProgramData\xxubhctopuuh\uqpllctchben.exe', '64');
DeleteService('GoogleUpdateTaskMachineQC');
DeleteService('XPMMCKSP');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

Компьютер [U]перезагрузится[/U].

Дополнительно:
Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B] ([B]Scan[/B]).
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
27.03.2025, 15:27
Aleksey1993

РЈС‚РёР»РёС‚Р° Farbar СѓСЃС‚Р°РЅРѕРІРёР»Р°СЃСЊ,Р·Р°РїСѓСЃРєР°РµС‚СЃСЏ Рё С‚СѓС‚ Р¶Рµ Р·Р°РєСЂС‹РІР°РµС‚СЃСЏ.РЎР°Рј РЅРѕСѓС‚Р±СѓРє РѕС‡РµРЅСЊ РјРµРґР»РµРЅРЅРѕ Р·Р°С…РѕРґРёС‚ РЅР° РґР°РЅРЅС‹Р№ СЃР°Р№С‚.Р§С‚Рѕ РёРЅС‚РµСЂРµСЃРЅРѕ,СЃ РїРµСЂСЃРѕРЅР°Р»СЊРЅРѕРіРѕ РєРѕРјРїСЊСЋС‚РµСЂР° РІ РіСѓРіР»С…СЂРѕРјРµ,РІРѕР№РґСЏ РІ СЃРІРѕСЋ СѓС‡С‘С‚РЅСѓСЋ Р·Р°РїРёСЃСЊ,СЏ С‚РѕР¶Рµ РЅРµ СЃРјРѕРі Р·Р°Р№С‚Рё РЅР° РґР°РЅРЅС‹Р№ СЃР°Р№С‚.РўРѕР»СЊРєРѕ С‡РµСЂРµР· РСЂРёРґРёСѓРј Р±СЂР°СѓР·РµСЂ.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Утилита Farbar запускается и тут же закрывается.Не знаю как отправилось предыдущее сообщение.Писал примерно о том же.Писал с персонального ПК.
27.03.2025, 16:09
Sandor

Антивирус отключаете перед запуском?
Переименуйте её FRST64.exe -> FRSTEnglish.exe и пробуйте запустить.
27.03.2025, 16:34
Aleksey1993

Вложений: 2

Переназвание помогло запустить программу.Выкладываю txt файлы
27.03.2025, 17:18
Sandor

[B]Примите к сведению[/B] - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1519616 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [2727704 2025-03-27] (Google LLC -> Google Inc.) [File not signed] <==== ATTENTION
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3447296 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
C:\ProgramData\Google\Chrome\updater.exe
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Исправить[/B] ([B]Fix[/B]) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.

Скачайте [url=https://disk.yandex.ru/d/ioc5fijaNhA4GA]этот архив[/url], извлеките из него reg-файлы и запустите последовательно каждый, соглашаясь с внесением изменений в реестр.
Перезагрузите компьютер.

Сделайте дополнительно:
Скачайте [URL='https://www.bleepingcomputer.com/download/farbar-service-scanner/dl/62/'][B]Farbar Service Scanner[/B][/URL]

Запустите.
Убедитесь, что отмечены пункты:
[LIST][*][B]Internet Services[/B][*][B]Windows Firewall[/B][*][B]System Restore[/B][*][B]Security Center/Action Center[/B][*][B]Windows Update[/B][*][B]Windows Defender[/B][/LIST]
Нажмите кнопку "[B]Scan[/B]"

Будет создан отчёт ([B]FSS.txt[/B]) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Удалите старые и соберите новые логи FRST.txt и Addition.txt
27.03.2025, 18:40
Aleksey1993

Вложений: 1

Скопировал текст.Запустил FRST,нажал FIX .Компьютер автоматически перезагрузился.Пока шум продолжается.Прикрепляю FixLog

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Файлы реестра запускаются и тут же закрываются.
28.03.2025, 08:55
Sandor

[quote="Sandor;1533327"]Будет создан отчёт ([B]FSS.txt[/B]) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Удалите старые и соберите новые логи [B]FRST.txt[/B] и [B]Addition.txt[/B][/quote]
Это тоже сделайте, пожалуйста.
28.03.2025, 10:39
Aleksey1993

Вложений: 2

Новые логи собрал.Вот,пожалуйста.
28.03.2025, 10:57
Sandor

Следующий скрипт выполните в [B]безопасном режиме[/B].
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]
Start::
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
U3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3447296 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
S2 XPMMCKSP; C:\ProgramData\xxubhctopuuh\uqpllctchben.exe [786432000 2025-03-27] (Microsoft Corporation) [File not signed] <==== ATTENTION <==== ATTENTION
C:\ProgramData\xxubhctopuuh\uqpllctchben.exe
Folder: C:\ProgramData\xxubhctopuuh\
2025-03-27 01:33 - 2025-03-27 01:33 - 000000000 ____D C:\ProgramData\Avast Software
Reboot:
End::
[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора (если уже его закрыли).[*] Нажмите [B]Исправить[/B] ([B]Fix[/B]) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.

После перезагрузки в нормальном режиме:

[quote="Sandor;1533327"]Сделайте дополнительно:
Скачайте [url=https://www.bleepingcomputer.com/download/farbar-service-scanner/dl/62/]Farbar Service Scanner[/url]

Запустите.
Убедитесь, что отмечены пункты:
Internet Services
Windows Firewall
System Restore
Security Center/Action Center
Windows Update
Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт ([B]FSS.txt[/B]) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.[/quote]