После kms auto появляется самовосстанавливающаяся папка с trojan (czyuzabpfprl и ztbhbqffszlu)

@Beshan · Регистрация: 13.01.2026

Студворк — интернет-сервис помощи студентам

Добрый день, пытался активировать виндовс через kms auto, после чего начали появляться самовосстанавливающиеся папки с файлом внутри, которые антивирус бесконечно теперь удаляет. Прикрепляю логи с Farbar Recovery Scan Tool. Спасибо.

@Sandor · 13.01.2026, 10:17

Здравствуйте!

Начнём с логов по правилам раздела:
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Beshan · 13.01.2026, 12:23 **[ТС]**

Прилагаю

@Sandor · 13.01.2026, 12:35

Внимание! Рекомендации написаны специально для пользователя Beshan. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3886238892-1396614520-399636955-1001\...\MountPoints2: {cf2cb4f9-9bad-11f0-80c4-345a6065f358} - "F:\SISetup.exe" 
HKU\S-1-5-21-3886238892-1396614520-399636955-1001\...\MountPoints2: {cf2cb648-9bad-11f0-80c4-345a6065f358} - "F:\SISetup.exe" 
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {F7B75D14-415D-4D3D-B945-C4A65FCEB34A} - System32\Tasks\MaintenanceUninstalledSystemApps => C:\Windows\System32\cmd.exe [339968 2025-12-10] (Microsoft Windows -> Microsoft Corporation) -> %SystemRoot%\System32\\/d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^&reg.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.Windows (запись имеет ещё 89 символов).
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3886238892-1396614520-399636955-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3886238892-1396614520-399636955-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
S2 CPHEWXYP; C:\ProgramData\czyuzabpfprl\kcqvanzcsiaa.exe [2874368 0] () [Файл не подписан] <==== ВНИМАНИЕ
U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [98304 2025-12-10] (Microsoft Windows -> Microsoft Corporation)
S2 NNWNJSZB; C:\ProgramData\ztbhbqffszlu\knhxxdxxcljq.exe [X] <==== ВНИМАНИЕ
2026-01-13 09:49 - 2026-01-13 10:00 - 000000000 ____D C:\ProgramData\czyuzabpfprl
2026-01-13 09:39 - 2026-01-13 10:00 - 000000000 ____D C:\ProgramData\ztbhbqffszlu
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Users\User"
Remove-MpPreference -ExclusionPath "C:"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartRegedit:
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DoSvc]
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"Description"="@%systemroot%\\system32\\dosvc.dll,-101"
"DisplayName"="@%systemroot%\\system32\\dosvc.dll,-100"
"ErrorControl"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,53,00,65,00,72,00,76,\
  00,69,00,63,00,65,00,20,00,2d,00,70,00,00,00
"LaunchProtected"=dword:00000002
"ObjectName"="NT Authority\\NetworkService"
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  64,00,6f,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceSidType"=dword:00000001
"Start"=dword:00000002
"SvcMemHardLimitInMB"=dword:00000027
"SvcMemMidLimitInMB"=dword:0000001b
"SvcMemSoftLimitInMB"=dword:0000000f
"Type"=dword:00000010
"DelayedAutostart"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DoSvc\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,70,00,04,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,00,\
  00,28,00,22,00,02,00,01,06,00,00,00,00,00,05,50,00,00,00,4d,f8,19,b6,b3,a7,\
  7f,e3,93,9a,10,ee,20,5d,51,ab,9b,39,b9,82,01,01,00,00,00,00,00,05,12,00,00,\
  00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DoSvc\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DoSvc\TriggerInfo\0]
"Action"=dword:00000001
"Data0"=hex:75,10,bc,a3,29,01,c6,41
"DataType0"=dword:00000001
"GUID"=hex:16,28,7a,2d,5e,0c,fc,45,9c,e7,57,0e,5e,cd,e9,c9
"Type"=dword:00000007
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DoSvc\TriggerInfo\1]
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0
"Type"=dword:00000005
 
EndRegedit:
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Beshan · 13.01.2026, 14:33 **[ТС]**

Прилагаю

@Sandor · 13.01.2026, 14:39

В настройках Windows Defender вручную удалите исключение по расширению ".exe"

Что сейчас с проблемой?

@Beshan · 13.01.2026, 14:45 **[ТС]**

Все еще появляются файлы в этих неопознанных папках

@Sandor · 13.01.2026, 14:48

Виноват, упустил одну деталь.
Удалите старые и соберите новые логи FRST.txt и Addition.txt

@Beshan · 13.01.2026, 15:36 **[ТС]**

Прилагаю

@Sandor · 13.01.2026, 19:53

Следующий скрипт выполните в безопасном режиме.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Start::
CloseProcesses:
HKLM\...\Policies\Explorer: [HideSCAMeetNow] 1
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1474560 2025-12-10] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [98304 2025-12-10] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [110592 2025-12-10] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [94208 2025-12-10] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [184720 2025-12-10] (Microsoft Windows -> Корпорация Майкрософт)
S2 NNWNJSZB; C:\ProgramData\ztbhbqffszlu\knhxxdxxcljq.exe [X]
2026-01-13 14:30 - 2026-01-13 15:34 - 000000000 ____D C:\ProgramData\ztbhbqffszlu
2026-01-13 14:30 - 2026-01-13 15:34 - 000000000 ____D C:\ProgramData\czyuzabpfprl
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Windows\Setup\Scripts"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Добавлено через 5 минут
+
Скачайте этот архив. Извлеките из него твики реестра и последовательно запустите каждый, соглашаясь с внесением изменений в реестр. Делайте в нормальном режиме загрузки.

@severnyj · 13.01.2026, 20:14

///

@Beshan · 13.01.2026, 20:17 **[ТС]**

Запустил твики реестра, также в безопасном режиме сделал по инструкции, прилагаю лог-файл

@severnyj · 13.01.2026, 20:25

Деинсталлируйте следующие программы:

RAV Endpoint Protection
Safer Web
VPN by RAV

Если не удаляются стандартным способом, используйте Geek Uninstaller (в том числе "Принудительным удалением" по правой кнопке мыши в списке установленных программ).

Сообщите, что с проблемой?

@Beshan · 13.01.2026, 20:32 **[ТС]**

Проблема решена, благодарю покорно

@severnyj · 13.01.2026, 20:46

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.

@Beshan · 14.01.2026, 12:41 **[ТС]**

Прилагаю

@Sandor · 14.01.2026, 13:04

Исправьте по возможности:

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен Контроль учётных записей

Microsoft Office профессиональный плюс 2016 - ru-ru v.16.0.12527.22286 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
AnyDesk v.ad 7.0.15 Внимание! Скачать обновления
Foxit PDF Reader v.2024.2.2.25170 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
7-Zip 24.08 (x64) v.24.08 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Telegram Desktop v.6.4.1 Внимание! Скачать обновления
Windscribe v.2.16.11 Внимание! Скачать обновления
µTorrent v.3.6.0.47224 Внимание! Клиент сети P2P с рекламным модулем!
Java 8 Update 251 (64-bit) v.8.0.2510.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u471-windows-x64.exe - Windows Offline (64-bit))^
Java(TM) SE Development Kit 11.0.20 (64-bit) v.11.0.20.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-25_windows-x64_bin.exe).
Java 8 Update 461 (64-bit) v.8.0.4610.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u471-windows-x64.exe - Windows Offline (64-bit))^
AIMP 5.30.2563 v.5.30.2563 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^
K-Lite Mega Codec Pack 18.6.5 v.18.6.5 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
BOINC: 22 года — и всё ещё работает Programma_Boinc 12.03.2026 BOINC: 22 года — и всё ещё работает Дэвид Андерсон написал ретроспективу. Кратко: в 2001 году он ушёл из United Devices, где был CTO, и за несколько месяцев написал ядро BOINC — клиент, сервер,. . .	SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .
Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .	Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .

@Sandor 22467 / 15921 / 3080 Регистрация: 08.10.2012 Сообщений: 64,856
	13.01.2026, 10:17
	Здравствуйте! Начнём с логов по правилам раздела: Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Sandor 22467 / 15921 / 3080 Регистрация: 08.10.2012 Сообщений: 64,856
	13.01.2026, 14:39
	В настройках Windows Defender вручную удалите исключение по расширению ".exe" Что сейчас с проблемой? 0

@Beshan 0 / 0 / 0 Регистрация: 13.01.2026 Сообщений: 8
	13.01.2026, 14:45 [ТС]
	Все еще появляются файлы в этих неопознанных папках 0

@Sandor 22467 / 15921 / 3080 Регистрация: 08.10.2012 Сообщений: 64,856
	13.01.2026, 14:48
	Виноват, упустил одну деталь. Удалите старые и соберите новые логи FRST.txt и Addition.txt 0

@severnyj 6362 / 2867 / 565 Регистрация: 04.04.2012 Сообщений: 10,408
	13.01.2026, 20:14
	/// 0

@Beshan 0 / 0 / 0 Регистрация: 13.01.2026 Сообщений: 8
	13.01.2026, 20:32 [ТС]
	Проблема решена, благодарю покорно 0

@severnyj 6362 / 2867 / 565 Регистрация: 04.04.2012 Сообщений: 10,408
	13.01.2026, 20:46
	Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите. Компьютер будет перезагружен автоматически. Подготовьте лог SecurityCheck by glax24: Скачайте архив, распакуйте в любую папку и запустите. Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению. 0

@Sandor 22467 / 15921 / 3080 Регистрация: 08.10.2012 Сообщений: 64,856
	14.01.2026, 13:04
	Исправьте по возможности: Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Так ли страшен Контроль учётных записей Microsoft Office профессиональный плюс 2016 - ru-ru v.16.0.12527.22286 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice AnyDesk v.ad 7.0.15 Внимание! Скачать обновления Foxit PDF Reader v.2024.2.2.25170 Внимание! Скачать обновления ^Локализованные версии могут обновляться позже англоязычных!^ Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления 7-Zip 24.08 (x64) v.24.08 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ Telegram Desktop v.6.4.1 Внимание! Скачать обновления Windscribe v.2.16.11 Внимание! Скачать обновления µTorrent v.3.6.0.47224 Внимание! Клиент сети P2P с рекламным модулем! Java 8 Update 251 (64-bit) v.8.0.2510.8 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u471-windows-x64.exe - Windows Offline (64-bit))^ Java(TM) SE Development Kit 11.0.20 (64-bit) v.11.0.20.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-25_windows-x64_bin.exe). Java 8 Update 461 (64-bit) v.8.0.4610.11 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u471-windows-x64.exe - Windows Offline (64-bit))^ AIMP 5.30.2563 v.5.30.2563 Внимание! Скачать обновления ^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^ K-Lite Mega Codec Pack 18.6.5 v.18.6.5 Внимание! Скачать обновления ---------------------------- [ UnwantedApps ] ----------------------------- Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Читайте Рекомендации после удаления вредоносного ПО 0