В работе Через Powershell и команду с github мошенник подключался к моему ПК и мог им управлять

[Ziw1n]

Здравствуйте. Через Powershell и команду с github мошенник подключался к моему ПК и мог им управлять. Анти-вирус Kaspersky вроде бы все удалил, но я хочу перестраховаться на всякий случай. Вот ссылка на github с которого установился этот вирус - GitHub - FREAKMANCHIK/WORK
Я думал, что мне помогут с настройкой DNS серверов, но мой давний друг решил меня развести и требовал деньги. Прошу, помогите мне. Антивирус я боюсь отключать, так как есть вероятность, что он опять захватит компьютер.

 

[akok]

Давайте начнем с анализа системы => Правила оформления запроса о помощи
а после проверки, нужно будет поменять важные пароли, этот вредонос их ворует

 

[Ziw1n]

Вот логи, пароли сейчас пойду менять

 

[akok]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Artem
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\GLCache

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Ziw1n]

Сделал

 

[akok]

Dr.Web - доудалить нужно

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1934453146-1552719460-822763314-1001\...\RunOnce: [Uninstall 25.127.0701.0006] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Артем и Саша\AppData\Local\Microsoft\OneDrive\25.127.0701.0006" [0 2025-08-05] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{1108FD1C-492F-4251-B9DB-77F0274267B2}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.187.37\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{2ABD6384-2E18-40E8-8439-F06D21E0B03D}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.195.43\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{2FDB3305-19B8-4FE2-972B-ED5E97CBBD6E}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.195.39\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{41B09861-5409-4D44-8CA4-D49FBFAA2E6F}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.195.49\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{4FFB4BD8-A109-4F25-A4DB-313678B19417}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.195.31\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{5FC44EBC-3A1F-4FBB-85E5-34405788C8D7}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.187.41\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{6DD6748E-7DAE-47EF-B4D5-03AA1B06D697}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.187.39\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{72726D01-426C-4B35-8266-B4496CAA889E}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.183.29\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{78C1ADF4-6DAE-4164-AEFA-4E3EAD9E750A}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.195.19\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{79F05C14-E714-4C12-9924-93C812894CB0}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.195.57\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{7EFB4924-4B93-4C43-9832-9C3D05E85214}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.195.59\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{83F21C4B-8643-4A08-A29A-822AFD835037}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.193.5\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{A087E49F-1F8E-4603-A200-55537B737421}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.195.25\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{AE1542A7-3989-481B-93A9-1500C5F56B14}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.185.27\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{B258532D-3529-4BEB-BF38-F08F98B3968C}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.195.15\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{BC4C72EF-3055-4A6D-86E1-AE4D24DB63CA}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.195.35\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{C88B3957-621C-415B-8EE5-B688FC7EF924}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.195.61\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{CAE1760A-CB07-481B-8F9A-BC65510AF5D5}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.185.21\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{DAA7499A-B3AC-4419-A89B-124318504051}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.185.29\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{E3D57E77-FE71-4D06-BD34-D48820074909}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.181.5\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{E76F97B1-1AE9-497C-9FA4-F57BBABAD54A}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.185.17\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-1934453146-1552719460-822763314-1001_Classes\CLSID\{F46A78BD-06FC-442C-88DF-0500F08F2379}\InprocServer32 -> C:\Users\Артем и Саша\AppData\Local\Microsoft\EdgeUpdate\1.3.195.45\psuser_64.dll => Нет файла
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Нет файла
  AlternateDataStreams: C:\ProgramData:err [1676]
  AlternateDataStreams: C:\Users\All Users:err [1676]
  AlternateDataStreams: C:\Users\Все пользователи:err [1676]
  AlternateDataStreams: C:\ProgramData\360Safe.Summary.union1:514561AD28 [3442]
  AlternateDataStreams: C:\ProgramData\360Safe.Summary.union1:BEA5C52C1F [6002]
  AlternateDataStreams: C:\ProgramData\Application Data:err [1676]
  AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive для бизнеса.lnk:1438E2ED3D [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook 2016.lnk:21BFFA7D5A [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk:E033AD74A8 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher 2016.lnk:17B869069B [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word 2016.lnk:65270D1A26 [6002]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7086]
  AlternateDataStreams: C:\Users\Артем и Саша\Application Data:d0353b486a0f166ba47ab293d0b1004e [394]
  AlternateDataStreams: C:\Users\Артем и Саша\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394]
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "D:\exloader"
  Remove-MpPreference -ExclusionPath "C:\Users\8F3C~1\AppData\Local\Temp"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\games"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\tools\redistributables"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\modifications\MFEDChanger_1716190739.dat"
  Remove-MpPreference -ExclusionPath "D:\Steam"
  Remove-MpPreference -ExclusionPath "D:\steam\steamapps\common\team fortress 2"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\modifications\L4D2Bot_1714572418.dat"
  Remove-MpPreference -ExclusionPath "D:\steam\steamapps\common\left 4 dead 2"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\modifications\L4D2Bot_1714572418.dll"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\modifications\UwUHax_1701456028.dat"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\modifications\UwUHax_1701456028.dll"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\modifications\WhydoIhax_1717144524.dat"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\modifications\WhydoIhax_1717144524.dll"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\updates\3.5.92.0"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\modifications\SEOwnedDE_1718096305.dat"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\modifications\SEOwnedDE_1718096305.dll"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\modifications"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\modifications\PhasmoMenu_1719481271.dat"
  Remove-MpPreference -ExclusionPath "D:\steam\steamapps\common\phasmophobia"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\modifications\PhasmoMenu_1719481271.exe"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\modifications\PhasmoMenu_1719481271_turndialog.exe"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\updates\3.5.93.0"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\updates\3.5.94.0"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\updates\3.5.95.0"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming\com.swiftsoft\ExLoader\updates\3.5.108.0"
  Remove-MpPreference -ExclusionPath "C:\Program Files (x86)"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Roaming"
  Remove-MpPreference -ExclusionPath "C:\Users\Артем и Саша\AppData\Local"
  Remove-MpPreference -ExclusionPath "C:\Program Files"
  EndPowerShell:
  cmd: netsh advfirewall reset
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Ziw1n]

А как удалить то доктор веб, не сказано ни слова про это

сделал

но как докторвеб удалить я не понял, бред в той теме написан

 

[Ziw1n]

Вы тут?

 

[akok]

Почти, уже с телефона был. Вижу ошибку, выполните скрипт в безопасном режиме. И проверьте состояние системы, завтра посмотрю на свежую голову, но все должно быть хорошо

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  StartPowershell:
  reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions" /f
  Set-MpPreference -UILockdown 0
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Ziw1n]

Сделал

 

[Ziw1n]

Что дальше делать?