0 / 0 / 0
Регистрация: 03.02.2025
Сообщений: 15
1

Какая-то гадость добавляет папки в исключения защитника Windows

03.02.2025, 18:15. Показов 1176. Ответов 27
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
С недавних пор Защитник Windows начал ругаться на некую дрянь под названием BrowserModifier:Win32/Neobar. По факту он пишет, через реестр в настройки исключений добавлены папки:
C:\Program Files (x86)\Torrent Search
C:\ProgramData\Torrent_Search_PED
C:\Users\UpdatusUser\AppData\LocalLow\TSearch
C:\Users\UpdatusUser\AppData\Local\Temp
C:\Windows\Temp
и т.п. для каждого пользователя. Всего 9 папок.
Защитник их удаляет, но папки в исключениях вскоре снова появляются.
Я настроил аудит на ветку реестра, где лежат эти исключения \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths
И вот в системных событиях появились записи об изменениях в реестре.
Кликните здесь для просмотра всего текста

XML
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> 
  <EventID>4657</EventID> 
  <Version>0</Version> 
  <Level>0</Level> 
  <Task>12801</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8020000000000000</Keywords> 
  <TimeCreated SystemTime="2025-02-03T14:19:03.7984842Z" /> 
  <EventRecordID>3551645</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="4" ThreadID="27080" /> 
  <Channel>Security</Channel> 
  <Computer>ROUTER</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data Name="SubjectUserSid">S-1-5-18</Data> 
  <Data Name="SubjectUserName">ROUTER$</Data> 
  <Data Name="SubjectDomainName">WORKGROUP</Data> 
  <Data Name="SubjectLogonId">0x3e7</Data> 
  <Data Name="ObjectName">\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths</Data> 
  <Data Name="ObjectValueName">C:\Users\UpdatusUser\AppData\Local\Temp</Data> 
  <Data Name="HandleId">0x3ec</Data> 
  <Data Name="OperationType">%%1904</Data> 
  <Data Name="OldValueType">-</Data> 
  <Data Name="OldValue">-</Data> 
  <Data Name="NewValueType">%%1873</Data> 
  <Data Name="NewValue">0</Data> 
  <Data Name="ProcessId">0x5ce8</Data> 
  <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data> 
  </EventData>
  </Event>

Но как изловить этот процесс, который внёс изменения?
ProcessID="4" - это System, а по ThreadID="27080" ни диспетчер задач, ни Process Explorer ничего не находит.

P.S. полный скан Защитником ничего не нашёл. CureIt также ничего не нашёл.
0
03.02.2025, 18:15
Programming
Эксперт
39485 / 9562 / 3019
Регистрация: 12.04.2006
Сообщений: 41,671
Блог
03.02.2025, 18:15
Ответы с готовыми решениями:

Как удалить исключения Защитника
После некоторых заражений системы в исключениях Защитника могут остаться пути вредоносных файлов. Чтобы их удалить проделайте следующее: ...

Задать в глобальные исключения SEPM файл из папки Windows
Встал вопрос как задать в глобальные исключения Symantec Endpoint Protection Manager файл в папке Windows. Помогите плиз ну уж очень не...

К хрому прилипла какая то гадость
Всем привет! Ребят появилась зараза в хроме: то есть заменены картинки и адреса, кликаешь, а там ничего не открывается ...

27
0 / 0 / 0
Регистрация: 03.02.2025
Сообщений: 15
03.02.2025, 21:21  [ТС] 3
Прикладываю логи
Вложения
Тип файла: zip CollectionLog-2025.02.03-20.09.zip (171.6 Кб, 9 просмотров)
0
Вирусоборец
 Аватар для severnyj
5033 / 2322 / 412
Регистрация: 04.04.2012
Сообщений: 8,496
04.02.2025, 09:24 4
Пофиксите в HJT (некоторые строки могут отсутствовать):

Код
O4 - MountPoints2: HKCU\..\{e67de504-17ea-11ea-be12-001a7dda7113}\shell\AutoRun\command: (default) = H:\Romexis_Viewer_Win.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\&Экспорт в Microsoft Excel: (default) = C:\Program Files (x86)\Microsoft Office\Office14\EXCEL.EXE (file missing)
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O20 - HKLM\..\Winlogon\Notify\LBTWlgn: [DllName] = "c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll (file missing)
O22 - BITS Job: Fix all (including legit)
O22 - Task: (damaged) C:\WINDOWS\System32\Tasks\OfficeSoftwareProtectionPlatform (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{78DDA8D1-9E19-40F2-8B8C-A20BE964BDEB} - \WPD\SqmUpload_S-1-5-21-1425329004-1821689888-3396750467-1001 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CDF6EC83-FB8E-4589-9303-C0641171305A} - \OfficeSoftwareProtectionPlatform\SvcRestartTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF027625-03F7-4E01-B46C-CEA70382E0D8} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF027625-03F7-4E01-B46C-CEA70382E0D8} - \Microsoft\Windows\UNP\RunCampaignManager (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MySQL\Installer (empty)
O22 - Tasks: (disabled) \Microsoft\Windows\Media Center\PeriodicScanRetry - C:\WINDOWS\ehome\MCUpdate.exe -pscn 0 (file missing)
O22 - Tasks: (disabled) \Microsoft\Windows\Media Center\RecordingRestart - C:\WINDOWS\ehome\ehrec /RestartRecording (file missing)
O22 - Tasks: (disabled) \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Tasks: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks: (disabled) \Microsoft\Windows\Shell\WindowsParentalControls - {DFA14C43-F385-4170-99CC-1B7765FA0E4A} - C:\Windows\SysWOW64\wpcumi.dll (file missing)
O22 - Tasks: (disabled) \Microsoft\Windows\Shell\WindowsParentalControlsMigration - {343D770D-7788-47C2-B62A-B7C4CED925CB} - C:\Windows\SysWOW64\wpcmig.dll (file missing)
O22 - Tasks: (disabled) \Microsoft\Windows\SideShow\AutoWake - {E51DFD48-AA36-4B45-BB52-E831F02E8316} - (no file)
O22 - Tasks: (disabled) \Microsoft\Windows\SideShow\SessionAgent - {45F26E9E-6199-477F-85DA-AF1EDFE067B1} - (no file)
O22 - Tasks: (disabled) \Microsoft\Windows\SideShow\SystemDataProviders - {7CCA6768-8373-4D28-8876-83E8B4E3A969} - (no file)
O22 - Tasks: (telemetry) \Microsoft\Office\Office Performance Monitor - C:\Program Files\Microsoft Office\root\VFS\ProgramFilesCommonX64\Microsoft Shared\Office16\operfmon.exe (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\ActivateWindowsSearch - C:\WINDOWS\ehome\ehPrivJob.exe /DoActivateWindowsSearch (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\ConfigureInternetTimeService - C:\WINDOWS\ehome\ehPrivJob.exe /DoConfigureInternetTimeService (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\DispatchRecoveryTasks - C:\WINDOWS\ehome\ehPrivJob.exe /DoRecoveryTasks $(Arg0) (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\ehDRMInit - C:\WINDOWS\ehome\ehPrivJob.exe /DRMInit (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\InstallPlayReady - C:\WINDOWS\ehome\ehPrivJob.exe /InstallPlayReady $(Arg0) (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\mcupdate - C:\WINDOWS\ehome\mcupdate $(Arg0) (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\mcupdate_scheduled - C:\WINDOWS\ehome\mcupdate -crl -hms -pscn 15 (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\MediaCenterRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe -MediaCenterRecoveryTask (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe -ObjectStoreRecoveryTask (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\OCURActivate - C:\WINDOWS\ehome\ehPrivJob.exe /OCURActivate (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\OCURDiscovery - C:\WINDOWS\ehome\ehPrivJob.exe /OCURDiscovery $(Arg0) (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\PBDADiscovery - C:\WINDOWS\ehome\ehPrivJob.exe /PBDADiscovery (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\PBDADiscoveryW1 - C:\WINDOWS\ehome\ehPrivJob.exe /wait:7 /PBDADiscovery (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\PBDADiscoveryW2 - C:\WINDOWS\ehome\ehPrivJob.exe /wait:90 /PBDADiscovery (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\PvrRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe -PvrRecoveryTask (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\PvrScheduleTask - C:\WINDOWS\ehome\mcupdate.exe -PvrSchedule (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\RegisterSearch - C:\WINDOWS\ehome\ehPrivJob.exe /DoRegisterSearch $(Arg0) (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\ReindexSearchRoot - C:\WINDOWS\ehome\ehPrivJob.exe /DoReindexSearchRoot (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\SqlLiteRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe -SqlLiteRecoveryTask (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\StartRecording - C:\WINDOWS\ehome\ehrec /StartRecording (file missing)
O22 - Tasks: \Microsoft\Windows\Media Center\UpdateRecordPath - C:\WINDOWS\ehome\ehPrivJob.exe /DoUpdateRecordPath $(Arg0) (file missing)
O22 - Tasks: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43DA-BFD7-FBEEA2180A1E} - (no file)
O22 - Tasks: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4F47-879B-29A80C355D61},$(Arg0) - (no file)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\Media Center\PeriodicScanRetry - C:\WINDOWS\ehome\MCUpdate.exe -pscn 0 (file missing)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\Media Center\RecordingRestart - C:\WINDOWS\ehome\ehrec /RestartRecording (file missing)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\Shell\WindowsParentalControls - {DFA14C43-F385-4170-99CC-1B7765FA0E4A} - C:\Windows\SysWOW64\wpcumi.dll (file missing)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\Shell\WindowsParentalControlsMigration - {343D770D-7788-47C2-B62A-B7C4CED925CB} - C:\Windows\SysWOW64\wpcmig.dll (file missing)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\SideShow\AutoWake - {E51DFD48-AA36-4B45-BB52-E831F02E8316} - (no file)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\SideShow\SessionAgent - {45F26E9E-6199-477F-85DA-AF1EDFE067B1} - (no file)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\SideShow\SystemDataProviders - {7CCA6768-8373-4D28-8876-83E8B4E3A969} - (no file)
O22 - Tasks_Migrated: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Diagnosis\RecommendedTroubleshootingScanner - C:\WINDOWS\system32\mitigationscanner.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\ActivateWindowsSearch - C:\WINDOWS\ehome\ehPrivJob.exe /DoActivateWindowsSearch (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\ConfigureInternetTimeService - C:\WINDOWS\ehome\ehPrivJob.exe /DoConfigureInternetTimeService (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\DispatchRecoveryTasks - C:\WINDOWS\ehome\ehPrivJob.exe /DoRecoveryTasks $(Arg0) (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\ehDRMInit - C:\WINDOWS\ehome\ehPrivJob.exe /DRMInit (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\InstallPlayReady - C:\WINDOWS\ehome\ehPrivJob.exe /InstallPlayReady $(Arg0) (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\mcupdate - C:\WINDOWS\ehome\mcupdate $(Arg0) (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\mcupdate_scheduled - C:\WINDOWS\ehome\mcupdate -crl -hms -pscn 15 (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\MediaCenterRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe -MediaCenterRecoveryTask (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe -ObjectStoreRecoveryTask (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\OCURActivate - C:\WINDOWS\ehome\ehPrivJob.exe /OCURActivate (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\OCURDiscovery - C:\WINDOWS\ehome\ehPrivJob.exe /OCURDiscovery $(Arg0) (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\PBDADiscovery - C:\WINDOWS\ehome\ehPrivJob.exe /PBDADiscovery (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\PBDADiscoveryW1 - C:\WINDOWS\ehome\ehPrivJob.exe /wait:7 /PBDADiscovery (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\PBDADiscoveryW2 - C:\WINDOWS\ehome\ehPrivJob.exe /wait:90 /PBDADiscovery (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\PvrRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe -PvrRecoveryTask (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\PvrScheduleTask - C:\WINDOWS\ehome\mcupdate.exe -PvrSchedule (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\RegisterSearch - C:\WINDOWS\ehome\ehPrivJob.exe /DoRegisterSearch $(Arg0) (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\ReindexSearchRoot - C:\WINDOWS\ehome\ehPrivJob.exe /DoReindexSearchRoot (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\SqlLiteRecoveryTask - C:\WINDOWS\ehome\mcupdate.exe -SqlLiteRecoveryTask (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\StartRecording - C:\WINDOWS\ehome\ehrec /StartRecording (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Media Center\UpdateRecordPath - C:\WINDOWS\ehome\ehPrivJob.exe /DoUpdateRecordPath $(Arg0) (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43DA-BFD7-FBEEA2180A1E} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4F47-879B-29A80C355D61},$(Arg0) - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask - C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Disable (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask - C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Warning (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2011.6-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2011.6-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2011.6-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2011.6-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing)
O22 - Tasks_Migrated: Adobe Flash Player NPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_Plugin.exe -check plugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O22 - Tasks_Migrated: NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA GeForce Experience.exe (file missing)
O22 - Tasks_Migrated: NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\NvNode\nvnodejslauncher.exe --launcher=TaskScheduler (file missing)
O22 - Tasks_Migrated: NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe (file missing)
O22 - Tasks_Migrated: NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe (file missing)
O23 - Driver S3: cpuz152 - C:\WINDOWS\temp\cpuz152\cpuz152_x64.sys (file missing)
O26-32 - Office Addin: HKLM\..\CsrBtOutlookAddin.CsrBtOutlookPlugin - (Bluetooth Outlook SendTo Plugin) -> (no file)

Подготовьте лог сканирования MBAM: FAQ по работе с Malwarebytes v.5
0
0 / 0 / 0
Регистрация: 03.02.2025
Сообщений: 15
04.02.2025, 19:49  [ТС] 5
HJT пофиксил. Лог Malwarebytes прикладываю.
Вложения
Тип файла: zip Malwarebytes Отчет о проверке 2025-02-04 164046.zip (5.6 Кб, 3 просмотров)
0
Вирусоборец
 Аватар для severnyj
5033 / 2322 / 412
Регистрация: 04.04.2012
Сообщений: 8,496
04.02.2025, 20:11 6
Повторите сканирование MBAM и удалите только следующее:

Код
PUP.Optional.VideoAdBlocker.ChrPRST, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\bknbnapaddjdnbilpmlacdkjdkjmbjhd, Проигнорировано пользователем, 2958, 307227, 1.0.95420, , ame, , , 
PUP.Optional.Amigo, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\MEDIAPLAYER\SHIMINCLUSIONLIST\amigo.exe, Проигнорировано пользователем, 317, 386186, 1.0.95420, , ame, , , 

PUP.Optional.BrowserManager, C:\USERS\GENIUS\APPDATA\LOCAL\YANDEX\BROWSERMANAGER, Проигнорировано пользователем, 1254, 383595, 1.0.95420, , ame, , , 
PUP.Optional.BrowserManager, C:\Users\Genius\AppData\Local\Yandex\BrowserManager\data\SeederTasks, Проигнорировано пользователем, 1254, 383595, 1.0.95420, , ame, , , 
PUP.Optional.BrowserManager, C:\Users\Genius\AppData\Local\Yandex\BrowserManager\data, Проигнорировано пользователем, 1254, 383595, 1.0.95420, , ame, , , 
PUP.Optional.MailRu, C:\USERS\GENIUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , , 
PUP.Optional.MailRu, C:\USERS\\u00d0\u009c\u00d0\u00b0\u00d1\u0080\u00d0\u00b8\u00d0\u00bd\u00d0\u00b0\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , , 

PUP.Optional.MailRu, C:\USERS\GENIUS\FAVORITES\Mail.Ru \u00d0\u0090\u00d0\u00b3\u00d0\u00b5\u00d0\u00bd\u00d1\u0082 - \u00d0\u00b8\u00d1\u0081\u00d0\u00bf\u00d0\u00be\u00d0\u00bb\u00d1\u008c\u00d0\u00b7\u00d1\u0083\u00d0\u00b9 \u00d0\u00b4\u00d0\u00bb\u00d1\u008f \u00d0\u00be\u00d0\u00b1\u00d1\u0089\u00d0\u00b5\u00d0\u00bd\u00d0\u00b8\u00d1\u008f!.url, Проигнорировано пользователем, 3450, 471428, 1.0.95420, , ame, , C748E3C222863E590BED515BAA1FD2BB, 01AB0B618CBE81BD8602B21AD10B20953DD4C7CE635E136FD7A40688A93178FE
PUP.Optional.VideoAdBlocker.ChrPRST, C:\USERS\GENIUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Проигнорировано пользователем, 2958, 307227, 1.0.95420, , ame, , 3A820275938D4F9EA5F8EA74382D50F2, 17F3B2DC5D473B722598FC7C0AC45BA8373F7DBAEFCEB04F0385A12F2EC86130
PUP.Optional.VideoAdBlocker.ChrPRST, C:\DOCUMENTS AND SETTINGS\ALL USERS\NTUSER.POL, Проигнорировано пользователем, 2958, -1, 0.0.0, , action, , 66DBCA2EE3F388655493861E67BB975D, 12D22B25A8F43615E01EDC763CF8668CF32DED940B15BA406CE246807CFDDF20
PUP.Optional.VideoAdBlocker.ChrPRST, C:\WINDOWS\SYSTEM32\GROUPPOLICY\USER\REGISTRY.POL, Проигнорировано пользователем, 2958, -1, 0.0.0, , action, , 8E1B08222F20E45A3E8DB04C569F9CB7, 5BB1F21F806938A043563024B13B33D74A2B95B767C5F81BDE8456E9D0413A89
PUP.Optional.MailRu, C:\USERS\GENIUS\FAVORITES\Mail.Ru.url, Проигнорировано пользователем, 3450, 471428, 1.0.95420, , ame, , C48288674AF90AB27B68ECB1F025A6A5, B178FE4C547ACCD2C899E9CDA5A7CD359B1CDF6D0209DA211F09B0D76E810E61
PUP.Optional.VideoAdBlocker.ChrPRST, C:\WINDOWS\SYSTEM32\GROUPPOLICY\MACHINE\REGISTRY.POL, Проигнорировано пользователем, 2958, -1, 0.0.0, , action, , DEE608A31CC113DAF939E57C7A96E8DB, 1DED904BA6F61A2F9A7346ED0318B18C1C0A45F65AF0981937BB69721FDDF149
PUP.Optional.BrowserManager, C:\Users\Genius\AppData\Local\Yandex\BrowserManager\data\SeederTasks\thumbsv1.json, Проигнорировано пользователем, 1254, 383595, 1.0.95420, , ame, , 7069BCB39A1772341A3B4EAE1C92417F, 072CB55D7A03C7E4A7475B289F61382E84BDB11660681053E8955BF940B4B1ED

PUP.Optional.MailRu, C:\USERS\GENIUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , 455D8329C081C42A59AA57DE6F2DBC1B, 3CEBDA191574B62E6DA6CF024A22F95458A5651EC3ABFC224B7961968E53D050
PUP.Optional.MailRu, C:\Users\Genius\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , 8BA7EE647ADA8459B0AEFD7F701E9ED4, ADC5A473A5CD014E11718BF6F982A05131976C3F8B27FA9CB2E8A383386EC3F4
PUP.Optional.MailRu, C:\Users\Genius\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\031764.ldb, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , 748037A37D11727F5F95BE2FFC6C18CC, E1308C21A9F759319B7B751FD6575F678FCA3627D05241FFA962E5BFE5DC04EF
PUP.Optional.MailRu, C:\Users\Genius\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\031766.log, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , C5E7E7C5E8BD90361DA03A5AE23C47F6, 5459E27961D965BF0CEB8158E8ED1A752B6DEC6344412C5BC4B2BFA61DBF5B8C
PUP.Optional.MailRu, C:\Users\Genius\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\031767.ldb, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , 0D90A06D6A73BBD075A14067E294136A, 16700F780731CE7D5F6C495B6CDDAE79C5C847122596B5C264983DB1382E7D5E
PUP.Optional.MailRu, C:\Users\Genius\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , A44ECF4078BEFE1760A57BAA94CEAE2A, 948C20AC305CAB5E1A023D976DC4551AADB2AE687A071AD0727DF6EF0CAA0D00
PUP.Optional.MailRu, C:\Users\Genius\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , , 
PUP.Optional.MailRu, C:\Users\Genius\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , 48FFA2C0131C1FE5F7BAD33BEBAF324B, D5D92F2C8D76297012EA63CAE4A29DAF58F9838D13716EA5A02E6B87C251FBD2
PUP.Optional.MailRu, C:\Users\Genius\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , CCC0889843C986F5F025510C7FE40FA9, 2EC936084611AACE05F4DB1473356CBAC620D868BD6F4A335021BCBD8D060041
PUP.Optional.MailRu, C:\Users\Genius\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-030735, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , 4328B150A441B323AD09777A85F5DE05, 190F77FFC665A12A78F3A72585062D206AE70541F5E08B039AF22244CD83384A
PUP.Optional.MailRu, C:\Users\\u00d0\u009c\u00d0\u00b0\u00d1\u0080\u00d0\u00b8\u00d0\u00bd\u00d0\u00b0\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , E037EC4B8E9B5A964E8AC65A306874F9, 1F111D83BD259C29B8D2D0756CCDC4DBF8EDA793166DC019A54CE1F8CF09211F
PUP.Optional.MailRu, C:\Users\\u00d0\u009c\u00d0\u00b0\u00d1\u0080\u00d0\u00b8\u00d0\u00bd\u00d0\u00b0\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\001010.ldb, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , 021187595D6C3AC7F3AB9D8ABE8F27A2, B4962657E660E61675AD0BFCD0058896708E08124DA47229CDC0AE5C3E862462
PUP.Optional.MailRu, C:\Users\\u00d0\u009c\u00d0\u00b0\u00d1\u0080\u00d0\u00b8\u00d0\u00bd\u00d0\u00b0\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\001012.ldb, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , 72E70896D4CF67093F0F814AE3CEF0DE, 8C72DAB6D6ED5525808169A2D4AD54C43B52C8432E70CFD6D863E1A88B638818
PUP.Optional.MailRu, C:\Users\\u00d0\u009c\u00d0\u00b0\u00d1\u0080\u00d0\u00b8\u00d0\u00bd\u00d0\u00b0\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\001013.log, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , 73F07F4EF01079E92CCA74CA3C5FA30D, 13E4654355F0DE5450F65DAD20E2A1ACD3CF2B12FA7445E69FE37F9279EB52A5
PUP.Optional.MailRu, C:\Users\\u00d0\u009c\u00d0\u00b0\u00d1\u0080\u00d0\u00b8\u00d0\u00bd\u00d0\u00b0\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\001014.ldb, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , EE3D29B75465DFD3263E13084B36583F, DB9C3A24C7521FCBE9CE16E02CC5B418F50FABA3CBF3FD31684AE7E7BF445922
PUP.Optional.MailRu, C:\Users\\u00d0\u009c\u00d0\u00b0\u00d1\u0080\u00d0\u00b8\u00d0\u00bd\u00d0\u00b0\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , 46295CAC801E5D4857D09837238A6394, 0F1BAD70C7BD1E0A69562853EC529355462FCD0423263A3D39D6D0D70B780443
PUP.Optional.MailRu, C:\Users\\u00d0\u009c\u00d0\u00b0\u00d1\u0080\u00d0\u00b8\u00d0\u00bd\u00d0\u00b0\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , , 
PUP.Optional.MailRu, C:\Users\\u00d0\u009c\u00d0\u00b0\u00d1\u0080\u00d0\u00b8\u00d0\u00bd\u00d0\u00b0\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , F21FC2E767709E642DBD95ED2A372DA1, 4028D3FF064C00D89D662E149CB364E53E822725670097C5D6A39440931A9A28
PUP.Optional.MailRu, C:\Users\\u00d0\u009c\u00d0\u00b0\u00d1\u0080\u00d0\u00b8\u00d0\u00bd\u00d0\u00b0\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , EFD5F23A482C5E5694FF4B646CFFFF8F, 0C4D2B6DE84F673FFA1CAE6F935587CB33D7426B893D1D86C79B6D361C206D29
PUP.Optional.MailRu, C:\Users\\u00d0\u009c\u00d0\u00b0\u00d1\u0080\u00d0\u00b8\u00d0\u00bd\u00d0\u00b0\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, Проигнорировано пользователем, 3450, 716220, 1.0.95420, , ame, , 848F88D9675CAB89C8C7CD805F9E7B11, AC5AF7B157C34BD2E10E233ADDD509F9A3FE6FFEFF59A81011C01B68F74E7B95


Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?
  • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
0
0 / 0 / 0
Регистрация: 03.02.2025
Сообщений: 15
04.02.2025, 22:02  [ТС] 7
в MBAM указанные элементы поместил в карантин (там только такая кнопка была). Логи Farbar Recovery Scan Tool прикладываю
Вложения
Тип файла: zip Addition.zip (81.3 Кб, 2 просмотров)
0
Вирусоборец
 Аватар для severnyj
5033 / 2322 / 412
Регистрация: 04.04.2012
Сообщений: 8,496
04.02.2025, 22:27 8
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Winsock: Catalog5 01 C:\WINDOWS\SysWOW64\napinsp.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog5 02 C:\WINDOWS\SysWOW64\pnrpnsp.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog5 03 C:\WINDOWS\SysWOW64\pnrpnsp.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog5 04 C:\WINDOWS\SysWOW64\wshbth.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog5 05 C:\WINDOWS\SysWOW64\NLAapi.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog5 06 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog5 07 C:\WINDOWS\SysWOW64\winrnr.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 01 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 02 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 03 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 04 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 05 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 06 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 07 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 08 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 09 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 10 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 11 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 12 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 13 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9 14 C:\WINDOWS\SysWOW64\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog5-x64 01 C:\Windows\system32\napinsp.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog5-x64 02 C:\Windows\system32\pnrpnsp.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog5-x64 03 C:\Windows\system32\pnrpnsp.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog5-x64 04 C:\Windows\system32\wshbth.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog5-x64 05 C:\Windows\system32\NLAapi.dll [0 2024-03-13] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog5-x64 06 C:\Windows\System32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog5-x64 07 C:\Windows\System32\winrnr.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 01 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 02 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 03 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 04 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 05 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 06 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 07 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 08 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 09 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 10 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 11 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 12 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 13 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
Winsock: Catalog9-x64 14 C:\Windows\system32\mswsock.dll [0 2023-11-15] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin: @java.com/JavaPlugin,version=11.161.2 -> C:\Program Files\Java\jre1.8.0_161\bin\plugin2\npjp2.dll [2018-04-04] (Oracle Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.50907.0\npctrl.dll [2017-05-03] ( Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\Program Files\Microsoft Office\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files\Microsoft Office\root\Office16\NPSPWRAP.DLL [2022-12-09] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin: Adobe Acrobat -> C:\Program Files\Adobe\Acrobat DC\Acrobat\Air\nppdf32.dll [2025-01-29] (Adobe Systems Inc.) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect64.dll [Нет файла]
FF Plugin-x32: @java.com/DTPlugin,version=11.161.2 -> C:\Program Files (x86)\Java\jre1.8.0_161\bin\dtplugin\npDeployJava1.dll [2018-04-04] (Oracle Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin-x32: @java.com/JavaPlugin,version=11.161.2 -> C:\Program Files (x86)\Java\jre1.8.0_161\bin\plugin2\npjp2.dll [2018-04-04] (Oracle Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files\Microsoft Office\root\VFS\ProgramFilesX86\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2022-12-09] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.50907.0\npctrl.dll [2017-05-03] ( Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\NPSPWRAP.DLL [2022-12-09] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect32.dll [Нет файла]
FF Plugin HKU\S-1-5-21-1425329004-1821689888-3396750467-1000: SkypeForBusinessPlugin-16.2 -> C:\Users\Genius\AppData\Local\Microsoft\SkypeForBusinessPlugin\16.2.0.511\npGatewayNpapi.dll [2019-08-03] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin HKU\S-1-5-21-1425329004-1821689888-3396750467-1000: SkypeForBusinessPlugin64-16.2 -> C:\Users\Genius\AppData\Local\Microsoft\SkypeForBusinessPlugin\16.2.0.511\npGatewayNpapi-x64.dll [2019-08-03] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin HKU\S-1-5-21-1425329004-1821689888-3396750467-1001: SkypePlugin -> C:\Users\Марина\AppData\Local\SkypePlugin\7.32.6.278\npGatewayNpapi.dll [2017-04-18] (Skype Technologies S.A.) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
FF Plugin HKU\S-1-5-21-1425329004-1821689888-3396750467-1001: SkypePlugin64 -> C:\Users\Марина\AppData\Local\SkypePlugin\7.32.6.278\npGatewayNpapi-x64.dll [2017-04-18] (Skype Technologies S.A.) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820329"
CHR HKU\S-1-5-21-1425329004-1821689888-3396750467-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd]
CHR HKU\S-1-5-21-1425329004-1821689888-3396750467-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-1425329004-1821689888-3396750467-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi]
S4 AdobeUpdateService; "C:\Program Files (x86)\Common Files\Adobe\Adobe Desktop Common\ElevationManager\AdobeUpdateService.exe" [X]
S4 MSIREGISTER_MR; C:\MSI\MSIRegister\MSIRegisterService.exe [X]
U3 idsvc; отсутствует ImagePath
2025-02-04 21:37 - 2025-02-04 21:37 - 000000258 __RSH C:\ProgramData\ntuser.pol
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`20hfm [0]
AlternateDataStreams: C:\Users\Genius\Downloads\FRST64.exe:MBAM.Zone.Identifier [225]
IE Session Restore: HKU\S-1-5-21-1425329004-1821689888-3396750467-1000 -> включён
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
CMD: ipconfig /flushdns
CMD: netsh winsock reset
CMD: netsh int ip reset
startbatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
endbatch:
CMD: secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
CMD: RD /S /Q "%WinDir%\System32\GroupPolicy"
CMD: RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
CMD: gpupdate /force
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
StartPowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowershell:
CMD: DISM.exe /Online /Cleanup-image /Restorehealth
CMD: sfc /scannow
CMD: findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt" 
CMD: type "%userprofile%\Desktop\sfcdetails.txt"
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
0
0 / 0 / 0
Регистрация: 03.02.2025
Сообщений: 15
05.02.2025, 20:41  [ТС] 9
Скопировал текст, запустил FRST от имени администратора и нажал Исправить. Ждал долго, около часа. Подтвердил запрос на перезагрузку. Компьютер ушёл в перезагрузку и не запустился. Синий экран Восстановление. Требуемое устройство не подключено или недоступно. Код ошибки 0xc000000e.
Запуск в безопасном режиме не помогает, загрузки не происходит.
0
Вирусоборец
 Аватар для severnyj
5033 / 2322 / 412
Регистрация: 04.04.2012
Сообщений: 8,496
05.02.2025, 20:57 10
Попробуйте так:
https://remontka.pro/0xc000000e-error-windows/
Ошибка 0xc000000e при загрузке Windows.pdf


Добавлено через 1 минуту
+ при загрузке с флешки, попробуйте найти в папке запуска fixlog.txt
0
0 / 0 / 0
Регистрация: 03.02.2025
Сообщений: 15
05.02.2025, 22:56  [ТС] 11
После долгих мучений и получения новой ошибки 0xc0000001, всё же удалось запустить винду путём отключения всех дисков, кроме системного. Лог прикладываю
Вложения
Тип файла: zip Fixlog.zip (58.7 Кб, 7 просмотров)
0
Вирусоборец
 Аватар для severnyj
5033 / 2322 / 412
Регистрация: 04.04.2012
Сообщений: 8,496
06.02.2025, 05:57 12
Удалите в корзину старые и подготовьте новые логи FRST.txt и Addition.txt
0
0 / 0 / 0
Регистрация: 03.02.2025
Сообщений: 15
06.02.2025, 10:41  [ТС] 13
А новый логи через Scan или через Fix ?
0
Вирусоборец
 Аватар для severnyj
5033 / 2322 / 412
Регистрация: 04.04.2012
Сообщений: 8,496
06.02.2025, 10:54 14
Старые удалите в корзину и новые через Scan
0
0 / 0 / 0
Регистрация: 03.02.2025
Сообщений: 15
06.02.2025, 12:06  [ТС] 15
Прикладываю новые логи скана.
Вложения
Тип файла: zip Addition.zip (83.9 Кб, 3 просмотров)
0
Вирусоборец
 Аватар для severnyj
5033 / 2322 / 412
Регистрация: 04.04.2012
Сообщений: 8,496
06.02.2025, 12:45 16
Систему восстанавливали из образа или из точки восстановления?
0
0 / 0 / 0
Регистрация: 03.02.2025
Сообщений: 15
06.02.2025, 12:58  [ТС] 17
Проблема видимо была из -за того, что система мигрировала с диска на диск через создание образа раздела. А загрузочная область видимо оставалась на старом диске.
Я отключил все диски, кроме системного, на котором был 1 раздел. Загрузился с загрузочной флэшки и через Восстановление при загрузке смог запустить винду.
0
Вирусоборец
 Аватар для severnyj
5033 / 2322 / 412
Регистрация: 04.04.2012
Сообщений: 8,496
06.02.2025, 13:35 18
Ok. Тогда, вам путь восстановления известен.

Попробуйте руками сделать то что сделал я.

Проверка системных файлов

Удаление групповых политик

Сброс сетевых настроек

Сброс WMI

(только эти 2 команды)

Код
winmgmt /verifyrepository
Winmgmt /salvagerepository

+++

Давайте проведем еще такое сканирование:

Скачайте Kaspersky Virus Removal Tool и сохраните файл KVRT.exe на своем Рабочем столе
Нажмите сочетание клавиш "Win+R" откроется окно "Выполнить"
Перетащите мышью KVRT.exe в поле Открыть
В поле "Открыть" должно отобразиться: C:\Users\{Имя вашего пользователя}\DESKTOP\KVRT.exe
Добавьте ключ -dontencrypt Обратите внимание на пробел между KVRT.exe и -dontencrypt

C:\Users\{Имя вашего пользователя}\DESKTOP\KVRT.exe -dontencrypt

Чтобы начать сканирование, нажмите кнопку "OK".
Откроется окно Лицензионного соглашения, отметьте все поля галочками, затем нажмите кнопку "Принять"
В следующем окне выберите пункт "Изменить параметры"
В новом окне убедитесь, что все поля выбора отмечены галочками, затем нажмите кнопку "OK"
Нажмите кнопку "Начать проверку" для сканирования всего компьютера.
После завершения проверки, если вредоносные записи будут найдены, выберите напротив них действие "Лечить" или "Удалить", затем нажмите кнопку "Продолжить".
В окне с предложением установки продукта от Лаборатории Касперского нажмите кнопку "Отмена".
Лог сканирования из папки C:\KVRT2020_Data\Reports вида: report_20210123_113021.klr, запакуйте в архив и прикрепите к следующему сообщению.
0
0 / 0 / 0
Регистрация: 03.02.2025
Сообщений: 15
06.02.2025, 14:53  [ТС] 19
Сделал, логи приложил. В групповых политиках была включена исключений для защитника Windows, её сбросил в Не установлено.
Вложения
Тип файла: zip report_2025.02.06_14.41.48.zip (520 байт, 2 просмотров)
0
Вирусоборец
 Аватар для severnyj
5033 / 2322 / 412
Регистрация: 04.04.2012
Сообщений: 8,496
06.02.2025, 15:10 20
Новые логи FRST давайте посмотрим, что еще можно исправить.
0
06.02.2025, 15:10
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
inter-admin
Эксперт
29715 / 6470 / 2152
Регистрация: 06.03.2009
Сообщений: 28,500
Блог
06.02.2025, 15:10
Помогаю со студенческими работами здесь

На диске C находятся две папки - WINDOWS.0 и WINDOWS.1, что это и какая из них лишняя?
Какую можно удалить? Весят то не мало, одна 500 мб, другая под гектар!

экран заблокировался висит какая то гадость денег просит
что делать если висит на экране проситель денег, можно ли лечить систему с другой системы на том же компьюторе? зараженная система XP,...

Windows 10 без защитника Windows существует?
Windows 10 без защитника Windows существует ?

Достаточно ли в компьютере с Windows Защитника
Установил Windows 8.1 на компьютер. Скачал по привычке дополнительный антивирус и установил (Аваст). При установке он уведомил, что сейчас...

Как включить Защитника Windows?
Здравствуйте дорогие Админы и профессионалы, у меня такая проблема, хочу включить антивирус но не могу, выдаёт какую-то неизвестную ошибку,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему

Редактор формул (кликните на картинку в правом углу, чтобы закрыть)
Опции темы

Новые блоги и статьи
Микросервис с нуля на Go с Kafka
stackoverflow 12.02.2025
Когда я впервые столкнулся с необходимостью разделить монолитное приложение на микросервисы, передо мной встал вопрос выбора правильных технологий и подходов. После долгих экспериментов с различными. . .
Микросервис с нуля на C# с RabbitMQ
stackoverflow 12.02.2025
Переход от монолитной архитектуры к микросервисной - это не просто модное веяние, а закономерный этап эволюции программных систем. В отличие от монолита, где все компоненты тесно связаны между собой. . .
Docker для начинающих
stackoverflow 12.02.2025
В современном мире разработки программного обеспечения все чаще возникает необходимость быстро и надежно разворачивать приложения в различных средах. Разработчики постоянно сталкиваются с проблемой. . .
Создание бота для Телеграм на C#
stackoverflow 12.02.2025
В современном мире корпоративных коммуникаций Telegram-боты становятся незаменимым средством автоматизации бизнес-процессов и взаимодействия с сотрудниками. Как создать такого бота, который сможет. . .
Операторы сравнения (== и ===) в JavaScript
hw_wired 12.02.2025
JavaScript предоставляет два основных оператора сравнения - оператор нестрогого равенства (==) и оператор строгого равенства (===). На первый взгляд они могут показаться очень похожими, но их. . .
Определение адреса, откуда репозиторий Git был клонирован
hw_wired 12.02.2025
Система контроля версий Git хранит всю информацию о репозитории в специальной директории . git, включая данные об удаленных источниках. Эта информация необходима для синхронизации изменений между. . .
Объединение нескольких коммитов Git в один
hw_wired 12.02.2025
Представьте, что вы работаете над новой функциональностью и создали десяток небольших коммитов: исправление опечатки, форматирование кода, добавление комментариев, реализация основной логики. Каждый. . .
Как добавить локальную ветку в удалённый репозиторий Git
hw_wired 12.02.2025
Локальная ветка в Git - это изолированная линия разработки, существующая только на вашем компьютере. Представьте себе дерево с множеством веток - каждая ветка может расти в своем направлении, не. . .
Статическое отражение в C++
stackoverflow 12.02.2025
Статическое отражение представляет собой мощный механизм, позволяющий программам анализировать и манипулировать своей собственной структурой во время компиляции. Эта возможность открывает. . .
C++ в 21 веке - Бьярне Страуструп
stackoverflow 12.02.2025
В современном мире разработки программного обеспечения C++ продолжает оставаться одним из ключевых языков программирования, несмотря на свой солидный возраст - более 45 лет с момента создания. За это. . .
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2025, CyberForum.ru