Стал шуметь новый ноутбук,редактор реестра мгновенно закрывается,не установить NETFrameWork 3.5

[Aleksey1993]

Здравствуйте.Помогите вычислить,вероятно,вредоносное ПО.При установке различных программ на новый ноутбук (мю торрент,архиватор,КМС активатор) внезапно стал постоянно шуметь ноутбук.Шумит обычно только при подключённом интернете.Диспетчер задач показывает 100 % загрузку ЦП и тут же загрузка снижается,шум прекращается.Редактор реестра открывается и тут же закрывается.При попытке установить ту же NetFrameWork 3.5 (нужна для одного,старого приложения) центр обновлений виндовс начинает загрузку и прекращает её с ошибкой.

[Info_bot]

Уважаемый(ая) Aleksey1993, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Sandor]

Здравствуйте!

КМС активатор

Это и есть вероятнее всего источник. Т.е. майнер шёл с ним в комплекте.

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe', '');
 QuarantineFile('C:\ProgramData\xxubhctopuuh\uqpllctchben.exe', '');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe', '64');
 DeleteFile('C:\ProgramData\xxubhctopuuh\uqpllctchben.exe', '64');
 DeleteService('GoogleUpdateTaskMachineQC');
 DeleteService('XPMMCKSP');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Дополнительно:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Aleksey1993]

Утилита Farbar установилась,запускается и тут же закрывается.Сам ноутбук очень медленно заходит на данный сайт.Что интересно,с персонального компьютера в гуглхроме,войдя в свою учётную запись,я тоже не смог зайти на данный сайт.Только через �ридиум браузер.

- - - - -Добавлено - - - - -

Утилита Farbar запускается и тут же закрывается.Не знаю как отправилось предыдущее сообщение.Писал примерно о том же.Писал с персонального ПК.

[Sandor]

Антивирус отключаете перед запуском?
Переименуйте её FRST64.exe -> FRSTEnglish.exe и пробуйте запустить.

[Aleksey1993]

Переназвание помогло запустить программу.Выкладываю txt файлы

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
  GroupPolicy: Restriction ? <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
  S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1519616 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
  S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [2727704 2025-03-27] (Google LLC -> Google Inc.) [File not signed] <==== ATTENTION
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3447296 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
  C:\ProgramData\Google\Chrome\updater.exe
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.


Скачайте этот архив, извлеките из него reg-файлы и запустите последовательно каждый, соглашаясь с внесением изменений в реестр.
Перезагрузите компьютер.

Сделайте дополнительно:
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Удалите старые и соберите новые логи FRST.txt и Addition.txt

[Aleksey1993]

Скопировал текст.Запустил FRST,нажал FIX .Компьютер автоматически перезагрузился.Пока шум продолжается.Прикрепляю FixLog

- - - - -Добавлено - - - - -

Файлы реестра запускаются и тут же закрываются.

[Sandor]

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Удалите старые и соберите новые логи FRST.txt и Addition.txt

Это тоже сделайте, пожалуйста.

[Aleksey1993]

Новые логи собрал.Вот,пожалуйста.

[Sandor]

Следующий скрипт выполните в безопасном режиме.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
  U3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3447296 2023-06-09] (Microsoft Windows -> Microsoft Corporation)
  S2 XPMMCKSP; C:\ProgramData\xxubhctopuuh\uqpllctchben.exe [786432000 2025-03-27] (Microsoft Corporation) [File not signed] <==== ATTENTION <==== ATTENTION
  C:\ProgramData\xxubhctopuuh\uqpllctchben.exe
  Folder: C:\ProgramData\xxubhctopuuh\
  2025-03-27 01:33 - 2025-03-27 01:33 - 000000000 ____D C:\ProgramData\Avast Software
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

После перезагрузки в нормальном режиме:

Сделайте дополнительно:
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:
Internet Services
Windows Firewall
System Restore
Security Center/Action Center
Windows Update
Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.