вирус майнер?

**Denzel-rok** · 12.11.2023, 09:38

Здравствуйте. Прошу помощи. На ноутбуке стал постоянно работать кулер охлаждения, идет реально горячий воздух, хотя такого раньше ни когда не было. Открыл крышку - пыли нет, все чисто. Погуглил и нашел похожую проблему. Там описывалось, что какой то вирус-майнер нагружает систему. Как только заходишь в диспетчер задач, первая строка с загрузкой ЦП пропадает и не успеваешь посмотреть, что это было и сразу температура падает и кулер останавливается. Только закрываешь Диспетчер задач и опять разгон. Проверял Аидой - она показывает загрузку ЦП на 100%. Помогите справится с этой заразой. Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.11.2023, 09:39

Уважаемый(ая) Denzel-rok, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 12.11.2023, 21:34

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - MountPoints2: HKCU\..\{a2ff388f-d341-11ec-aea4-d46d6dff58c4}\shell\AutoRun\command: (default) = H:\autorun.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{270B365B-3CFE-4A59-BD62-789278503D49} - \Lenovo\ImController\Lenovo iM Controller Monitor (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{31153304-450E-4D00-8E34-F12FF7AB8365} - \Lenovo\ImController\TimeBasedEvents\8d670866-d9e8-449e-895e-25cee614e9aa (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9E16347F-408A-4E34-A15E-0D0EA95B1A01} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B15DABD0-9B87-41F9-93EF-AE3D2DD0CD6E} - \Lenovo\ImController\TimeBasedEvents\7d7d2e8d-3ee6-4e72-b339-4bad938cbaf5 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C6ABE7FA-C0B3-40AD-AA8E-0339DD2A6B74} - \Lenovo\ImController\TimeBasedEvents\a00fa066-87b7-4de2-943f-327928c9085d (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E384130F-F895-4D4F-A9C3-A0B5E9D84268} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo\BatteryGauge (empty)
O22 - Tasks: \Lenovo\Power Manager\Background monitor - C:\WINDOWS\SysWOW64\Lenovo\PowerMgr\PowerMgr.exe (file missing)
O22 - Tasks: ads-blocker-S-1-5-21-681365722-9430415-1745193957-1001 - C:\WINDOWS\System32\msiexec.exe /i "C:\Users\Lenovo\AppData\Local\Programs\7ab2575c30cb3523\5d27d2f835.msi" /quiet CHROME=1 (sign: 'Microsoft')
O22 - Tasks: provincial-potatoes - C:\ProgramData\pools-prototype\bin.exe /H (file missing)
O22 - Tasks: SpyHunter4Startup - D:\SpyHanter\SpyHunter\App\SpyHunter\SpyHunter4.exe (file missing)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Denzel-rok** · 13.11.2023, 15:46

вот архив с файлами

**Vvvyg** · 13.11.2023, 16:43

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
Task: {270B365B-3CFE-4A59-BD62-789278503D49} - \Lenovo\ImController\Lenovo iM Controller Monitor -> Нет файла <==== ВНИМАНИЕ
Task: {31153304-450E-4D00-8E34-F12FF7AB8365} - \Lenovo\ImController\TimeBasedEvents\8d670866-d9e8-449e-895e-25cee614e9aa -> Нет файла <==== ВНИМАНИЕ
Task: {9E16347F-408A-4E34-A15E-0D0EA95B1A01} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask -> Нет файла <==== ВНИМАНИЕ
Task: {B15DABD0-9B87-41F9-93EF-AE3D2DD0CD6E} - \Lenovo\ImController\TimeBasedEvents\7d7d2e8d-3ee6-4e72-b339-4bad938cbaf5 -> Нет файла <==== ВНИМАНИЕ
Task: {C6ABE7FA-C0B3-40AD-AA8E-0339DD2A6B74} - \Lenovo\ImController\TimeBasedEvents\a00fa066-87b7-4de2-943f-327928c9085d -> Нет файла <==== ВНИМАНИЕ
Task: {E384130F-F895-4D4F-A9C3-A0B5E9D84268} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance -> Нет файла <==== ВНИМАНИЕ
Task: {8EB8C9EE-CD79-4989-888B-4D2D63BA96DB} - System32\Tasks\Lenovo\Power Manager\Background monitor => "C:\WINDOWS\SysWOW64\Lenovo\PowerMgr\PowerMgr.exe"  (Нет файла)
Task: {4CF10030-43EE-4E21-9A01-3C5A486923A0} - System32\Tasks\provincial-potatoes => C:\ProgramData\pools-prototype\bin.exe  /H (Нет файла)
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
CHR DefaultSearchURL: System Profile -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: System Profile -> cdn
C:\ProgramData\pools-prototype
2023-10-24 17:21 - 2023-10-24 17:21 - 000000000 _RSHD C:\ProgramData\WindowsTask
2023-10-24 17:21 - 2023-10-24 17:21 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2023-10-24 17:21 - 2023-10-24 17:21 - 000000000 _RSHD C:\ProgramData\Setup
2023-10-24 17:21 - 2023-10-24 17:21 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2023-10-24 17:21 - 2023-10-24 17:21 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2023-10-24 17:21 - 2023-10-24 17:21 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2023-10-24 17:21 - 2023-10-24 17:21 - 000000000 _RSHD C:\Program Files (x86)\360
Folder: C:\ProgramData\RfDNxPJjfFRpPXJ
2023-10-18 18:52 - 2023-10-18 18:52 - 000000000 ____D C:\ProgramData\RfDNxPJjfFRpPXJ
Folder: C:\5XcKOJUNI6uYfhUW
2023-10-18 18:43 - 2023-11-11 06:49 - 000000000 ___HD C:\5XcKOJUNI6uYfhUW
Folder: C:\ProgramData\prnBhlxRrnJFBTnlnl
2023-10-17 18:22 - 2023-10-17 18:22 - 000000000 ____D C:\ProgramData\prnBhlxRrnJFBTnlnl
Folder: C:\ProgramData\lbrbvpVlDTVhHHxdD
2023-10-17 18:22 - 2023-10-17 18:22 - 000000000 ____D C:\ProgramData\lbrbvpVlDTVhHHxdD
2023-10-17 17:28 - 2023-10-17 17:28 - 000000000 _____ C:\ProgramData\1.txt
CustomCLSID: HKU\S-1-5-21-681365722-9430415-1745193957-1001_Classes\CLSID\{1F9E0710-2073-435F-9C1B-F29946205947}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.36.152\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-681365722-9430415-1745193957-1001_Classes\CLSID\{2919A592-BF5E-4AF5-A658-84454D70841E}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.36.202\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-681365722-9430415-1745193957-1001_Classes\CLSID\{4AC6DFE1-607B-45B2-B289-D7FBCD44169C}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2019\acad.exe (Autodesk, Inc. -> Autodesk, Inc.)
CustomCLSID: HKU\S-1-5-21-681365722-9430415-1745193957-1001_Classes\CLSID\{5D44759C-CF3F-433D-9EA0-267E45577C77}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.36.212\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-681365722-9430415-1745193957-1001_Classes\CLSID\{69545769-8D02-4B07-A481-AD374CD8D5D1}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.36.132\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-681365722-9430415-1745193957-1001_Classes\CLSID\{AE9899FA-E21F-4D91-BD1F-59BC10E56CA1}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.36.292\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-681365722-9430415-1745193957-1001_Classes\CLSID\{CA07EE63-A212-4373-AE82-FBF92FCA8DCC}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.36.242\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-681365722-9430415-1745193957-1001_Classes\CLSID\{DA06AAE8-5748-4509-850F-17AA522F8372}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.36.272\psuser_64.dll => Нет файла
BHO: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\118.0.2088.57\BHO\ie_to_edge_bho_64.dll => Нет файла
BHO-x32: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\118.0.2088.57\BHO\ie_to_edge_bho.dll => Нет файла
FirewallRules: [{F53FD809-277B-4357-95D6-99345DA25A91}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [{31327491-7A58-42D7-B8F8-416CD958A0AB}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{81E5D8AC-7B0D-43D7-8DC1-BDACF2C98758}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{6710ADDE-C265-4E56-989D-2E8E065027E2}] => (Allow) C:\Users\Lenovo\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{B4FA6560-ADFA-43F2-BAEF-0EAECEF7EBF2}] => (Allow) C:\Users\Lenovo\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{419CBB94-DDD7-4162-B499-67AF2BC2D5D7}] => (Allow) C:\Users\Lenovo\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{76A14185-88B2-4175-9BAB-D3CAA847D44C}] => (Allow) C:\Users\Lenovo\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{986DCDDC-CF38-4192-B898-852D62AC9051}] => (Allow) C:\Users\Lenovo\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{DCA6542F-955B-46B9-A643-8F2D229730D4}] => (Allow) C:\Users\Lenovo\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{6E2CA02B-BD98-45EC-80C3-6875D8DEDDD9}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office15\UcMapi.exe => Нет файла
FirewallRules: [{54F29679-17AC-4400-B914-81E697CFBF4C}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office15\UcMapi.exe => Нет файла
FirewallRules: [{8FC2309F-3D59-40C0-8861-5B57AFCEA4BF}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office15\lync.exe => Нет файла
FirewallRules: [{15B4E3F7-EBB3-4C3F-848F-857E94D0A7F1}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office15\lync.exe => Нет файла
FirewallRules: [TCP Query User{48BD27D2-2DD8-4115-8E2A-9D0E2301495A}C:\users\lenovo\appdata\local\the bat!\main\10.1.0.0\64\thebat.exe] => (Allow) C:\users\lenovo\appdata\local\the bat!\main\10.1.0.0\64\thebat.exe => Нет файла
FirewallRules: [UDP Query User{12E3F37C-45AE-4C32-B6D6-D68D3043FAFD}C:\users\lenovo\appdata\local\the bat!\main\10.1.0.0\64\thebat.exe] => (Allow) C:\users\lenovo\appdata\local\the bat!\main\10.1.0.0\64\thebat.exe => Нет файла
FirewallRules: [{54383070-ccd5-454e-b24a-20745be31a28}] => (Allow) C:\Program Files\ldplayerbox\LdVBoxHeadless.exe => Нет файла
FirewallRules: [{2AFE4DBB-105F-42A2-A57D-012F836A1C10}] => (Allow) C:\Users\Lenovo\Downloads\whatsapp-transfer.exe => Нет файла
FirewallRules: [{109DB5BF-62A1-4AAE-A16A-93F0247ECC21}] => (Allow) C:\Users\Lenovo\Downloads\whatsapp-transfer.exe => Нет файла
FirewallRules: [{642B00A0-AFBE-46E4-9109-6E270131B9D7}] => (Allow) C:\Program Files (x86)\Tenorshare\iCareFone Transfer\iCareFone Transfer.exe => Нет файла
FirewallRules: [{919E5B00-56CA-44D5-8ACA-8F326D01BFB9}] => (Allow) C:\Program Files (x86)\Tenorshare\iCareFone Transfer\iCareFone Transfer.exe => Нет файла
FirewallRules: [{86AE0DA7-1380-401A-A997-223A3E6AA8C9}] => (Allow) C:\Program Files (x86)\Tenorshare\iCareFone Transfer\MicrosoftEdgeWebview2Setup.exe => Нет файла
FirewallRules: [{C4061B10-04DE-4554-96CA-2E9325924E57}] => (Allow) C:\Program Files (x86)\Tenorshare\iCareFone Transfer\MicrosoftEdgeWebview2Setup.exe => Нет файла
FirewallRules: [{1E7CADFE-5E64-4A32-9CFE-2820FC922010}] => (Allow) C:\Users\Lenovo\Downloads\key-generator-dlya-a-rV7JyuWoxMYO\hitpaw-voice-changer.exe => Нет файла
FirewallRules: [{7E03FCCF-F2F9-4110-9C4E-E9CC2DB726B3}] => (Allow) C:\Users\Lenovo\Downloads\key-generator-dlya-a-rV7JyuWoxMYO\hitpaw-voice-changer.exe => Нет файла
FirewallRules: [{362028ED-2201-4B84-9CEE-A3B49FEF2BF1}] => (Allow) 㩃啜敳獲䱜湥癯屯灁䑰瑡屡潒浡湩屧潴屣㕆奓⹳硥e => Нет файла
FirewallRules: [{1DFF5D37-F36B-4211-BF76-207E2801855E}] => (Allow) 㩃啜敳獲䱜湥癯屯灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{8929B84D-A8BC-4370-888E-4DF7C2958364}] => (Allow) 㩃啜敳獲䱜湥癯屯灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{49731010-D4B0-4740-94B5-9F58B71139B2}] => (Allow) 㩃啜敳獲䱜湥癯屯灁䑰瑡屡潒浡湩屧潴屣摑畐攮數 => Нет файла
HKU\S-1-5-21-681365722-9430415-1745193957-1001\...\Policies\Explorer: [] 
HKU\S-1-5-21-681365722-9430415-1745193957-1001\...\MountPoints2: {a2ff388f-d341-11ec-aea4-d46d6dff58c4} - "H:\autorun.exe" 
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR или .7z с максимальным сжатием (если нет этих приложений, в Windows 11 по правой кнопке мыши - "Сжать в ZIP файл") и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

Сообщите, что с проблемой.

**Denzel-rok** · 13.11.2023, 20:09

Проблема сохраняется. Аида показывает загрузку процессора на 100%, кулер молотит на полную. Как только открываю диспетчер задач - все скидывается и процессор остывает и кулер останавливается.

**Vvvyg** · 13.11.2023, 21:22

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Диспетчер не открывайте перед и во время процедуры. отработать должен именно под нагрузкой.
если образ не влезет во вложения - в облако и ссылкой.

**Denzel-rok** · 13.11.2023, 21:50

сделал

**Vvvyg** · 13.11.2023, 22:22

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
unload %Sys32%\FIND.EXE
delref %SystemDrive%\PROGRAMDATA\CLOUDDEFENDER-4DADEAC7-3A66-4CCF-8014-090933903F64\FIND.EXE
zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
addsgn A7679BCB043CC707038351C474FBEDFA5086AA1ECD591F780003B1E3D3AB7D4D5656943F7A279C48D495E08E4617CC3A0996614735A8B12DC5FF2A2FC7F9371B 24 New.Miner.mobsync 7

chklst
delvir
dirzooex %SystemDrive%\PROGRAMDATA\CLOUDDEFENDER-4DADEAC7-3A66-4CCF-8014-090933903F64
deldir %SystemDrive%\PROGRAMDATA\CLOUDDEFENDER-4DADEAC7-3A66-4CCF-8014-090933903F64
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DUAL SMART SOLUTION.LNK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemDrive%\USERS\LENOVO\APPDATA\ROAMING\YANDEX\YANDEXDISK2\3.2.34.4962\WOW64\YANDEXDISK3SHELLEXT-1511.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\LG SOFT INDIA PVT LTD\DUAL SMART SOLUTION\BIN\DUAL SMART SOLUTION.EXE -STARTUP
delref %SystemDrive%\PROGRAM FILES\INTEL\THUNDERBOLT SOFTWARE\TBTSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\118.0.2088.57\INSTALLER\SETUP.EXE
delref %SystemRoot%\LENOVO\IMCONTROLLER\SERVICE\LENOVO.MODERN.IMCONTROLLER.EXE
delref %SystemRoot%\SYSWOW64\LENOVO\POWERMGR\EASYRESUME.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\118.0.2088.57\ELEVATION_SERVICE.EXE
delref %Sys32%\DRIVERS\RSDWF.SYS
czoo
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сообщите, что с проблемой.

**Denzel-rok** · 14.11.2023, 21:01

прикрепляю лог

**Vvvyg** · 14.11.2023, 21:10

Чтобы убедиться, что не осталось хвостов, сделайте новые логи Farbar Recovery Scan Tool.

**Denzel-rok** · 14.11.2023, 21:29

все сделал

**Vvvyg** · 14.11.2023, 21:43

Проверьте файл C:\WINDOWS\SysWOW64\nav309.dat на virustotal.com и дайте ссылку на результат.
И дайте доступ к файлу карантина ZOO - только ссылку прислали, надо ещё разрешить доступ.

**Denzel-rok** · 14.11.2023, 21:53

https://www.virustotal.com/gui/file/...6a3b?nocache=1
ссылка на результат. Доступ дал

**Vvvyg** · 14.11.2023, 22:19

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
Folder: C:\WINDOWS\system32\%LOCALAPPDATA%
File: C:\WINDOWS\System32\mstsc.exe
2023-10-25 05:24 - 2023-10-25 05:24 - 001102818 _____ C:\WINDOWS\SysWOW64\nav309.dat
2023-10-20 10:45 - 2023-10-20 10:45 - 000000000 ____D C:\Users\Lenovo\AppData\Local\mbam
2023-10-20 10:44 - 2023-10-20 17:17 - 000000000 ____D C:\Program Files\Malwarebytes
CustomCLSID: HKU\S-1-5-21-681365722-9430415-1745193957-1001_Classes\CLSID\{E4949BE6-C9FF-4AFA-8672-6127D857418B}\InprocServer32 -> C:\Users\Lenovo\AppData\Local\Google\Update\1.3.36.312\psuser_64.dll => Нет файла
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его.

**Denzel-rok** · 19.11.2023, 11:05

Сделал

**Vvvyg** · 19.11.2023, 11:58

Порядок.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.