В работе Ошибка 0xc0000017 после установки обхода на дискорд, возможно чего-то другого

[GoDzi]

Появилась ошибка 0xc0000017 при запуске редактора реестра, при использовании точек восстановления и прочих системных служб. Dr web обнаружил майнер, который удалось удалить. Однако ошибка 0xc0000017 осталась.
Изначально даже браузер закрывался при попытке запроса любого антивируса в поисковой строке, мучался несколько часов, пофиксить смог, но следы остались, тот же самый касперский не открывается для примера, сработал только cureit, войти в безопасный режим возможности нет, он будто отключен, в msconfig не дает применить изменения, кнопки не кликабельны, пробовал через чужую тему исправить свои проблемы, но после avz в hijackthis все же решил создать свою тему ибо я в этом полный ноль) по логам в hjk есть скрытый юзер John, я как понял это учетка майнерская, очень прошу вас помочь с данной проблемой, фпс в играх после моих попыток исправления вырос раза в два, но наличие этой шляпы на компьютере не дает покоя, заранее благодарю за потраченное вами время!

 

[GoDzi]

еще и автологер заблочен)

после попытки разархивирования автологера появился файл, не знаю по теме ли он, но на всякий случай добавлю сюда

Нашел автологер в какой-то из тем, этот уже заработал почему-то, логи прилагаю

 

[akok]

Тогда начинаем лечение так -> Как провести сканирование Miner Search

 

[GoDzi]

Сделал, вот логи

 

[akok]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[GoDzi]

Логи

 

[GoDzi]

Логи

upd. регедит заработал, в мс конфиге все так же кнопки не кликабельны

 

[Severnyj]

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-1049044997-4227027920-3169876132-1001\...\Run: [MarketAdvior3] => C:\Users\User\AppData\Roaming\MarketAdvior3\python\pythonw.exe [95760 2019-07-08] (Python Software Foundation -> Python Software Foundation) <==== ВНИМАНИЕ
HKU\S-1-5-21-1049044997-4227027920-3169876132-1001\...\Run: [Win32 SystemNetwork Application] => C:\ProgramData\SystemNetwork\nCoreManager.exe [2503848 2020-09-08] (Doctor Web Ltd. -> Sincerely Rated Lab) [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RealtekSb.lnk [2020-09-08]
ShortcutTarget: RealtekSb.lnk -> C:\Users\User\AppData\Roaming\Realtek Sound Blaster\RealtekSb.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1049044997-4227027920-3169876132-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {B0C35578-A9CC-4009-9174-5A3817EB9E65} - System32\Tasks\Microsoft\Windows\GlobalDataS\RecoveryHosts => C:\ProgramData\Microsoft\DRM\CsBq4KEEs\GlobalDataS.bat  (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-1049044997-4227027920-3169876132-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-1049044997-4227027920-3169876132-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
S3 cpuz145; \??\C:\WINDOWS\temp\cpuz145\cpuz145_x64.sys [X] <==== ВНИМАНИЕ
S3 cpuz150; \??\C:\WINDOWS\temp\cpuz150\cpuz150_x64.sys [X] <==== ВНИМАНИЕ
2025-03-23 22:46 - 2025-03-23 22:46 - 000000000 ____D C:\Users\User\AppData\Roaming\RMS_settings
2025-04-05 15:23 - 2025-02-21 13:52 - 000000000 __SHD C:\ProgramData\52b980f6-4b46-4240-865e-4f462b25992d
2025-04-05 15:21 - 2020-07-11 18:20 - 000000000 __SHD C:\Program Files (x86)\IObit
2020-09-08 23:30 C:\ProgramData\IntelCore
2020-09-08 14:30 C:\ProgramData\SystemNetwork
IFEO\avpui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\kldw.exe: [MinimumStackCommitInBytes] 1099466887
CustomCLSID: HKU\S-1-5-21-1049044997-4227027920-3169876132-1001_Classes\CLSID\{2ABD6384-2E18-40E8-8439-F06D21E0B03D}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.43\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1049044997-4227027920-3169876132-1001_Classes\CLSID\{2FDB3305-19B8-4FE2-972B-ED5E97CBBD6E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1049044997-4227027920-3169876132-1001_Classes\CLSID\{4FFB4BD8-A109-4F25-A4DB-313678B19417}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1049044997-4227027920-3169876132-1001_Classes\CLSID\{5C4D8D77-5B87-40CA-884E-F56858227E5C}\localserver32 -> C:\Users\User\AppData\Local\Programs\TeamSpeak\notification_helper.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-1049044997-4227027920-3169876132-1001_Classes\CLSID\{78C1ADF4-6DAE-4164-AEFA-4E3EAD9E750A}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1049044997-4227027920-3169876132-1001_Classes\CLSID\{83F21C4B-8643-4A08-A29A-822AFD835037}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.193.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1049044997-4227027920-3169876132-1001_Classes\CLSID\{A087E49F-1F8E-4603-A200-55537B737421}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.25\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1049044997-4227027920-3169876132-1001_Classes\CLSID\{B258532D-3529-4BEB-BF38-F08F98B3968C}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.15\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1049044997-4227027920-3169876132-1001_Classes\CLSID\{BC4C72EF-3055-4A6D-86E1-AE4D24DB63CA}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.35\psuser_64.dll => Нет файла
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [2498]
AlternateDataStreams: C:\ProgramData\gfyqrydblm.js:519D1A4A27 [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [2498]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL:FC91667982 [2498]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8078]
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPzhbIMxerwItFfdYgJTuH95r85iPrlDRo4t0kElQSMnfVoWWF99cDWPRMF8J4jnyTzR_crzyAbtQq0-rnSeQPtzt74chuQPGwyEkn1opVwakaD9YMkljLow2kUm9pUZOSuWcAII96nDnq6MzPVWY5RFApdDVJj3&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1049044997-4227027920-3169876132-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPzhbIMxerwItFfdYgJTuH95r85iPrlDRo4t0kElQSMnfVoWWF99cDWPRMF8J4jnyTzR_crzyAbtQq0-rnSeQPtzt74chuQPGwyEkn1opVwakaD9YMkljLow2kUm9pUZOSuWcAII96nDnq6MzPVWY5RFApdDVJj3&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1049044997-4227027920-3169876132-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPzhbIMxerwItFfdYgJTuH95r85iPrlDRo4t0kElQSMnfVoWWF99cDWPRMF8J4jnyTzR_crzyAbtQq0-rnSeQPtzt74chuQPGwyEkn1opVwakaD9YMkljLow2kUm9pUZOSuWcAII96nDnq6MzPVWY5RFApdDVJj3&q={searchTerms}
HKU\S-1-5-21-1049044997-4227027920-3169876132-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ovgorskiy.ru
HKU\S-1-5-21-1049044997-4227027920-3169876132-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPzhbIMxerwItFfdYgJTuH95r85iPrlDRo4t0kElQSMnfVoWWF99cDWPRMF8J4jnyTzR_crzyAbtQq0-rnSeQPtzt74chuQPGwyEkn1opVwakaD9YMkljLow2kUm9pUZOSuWcAII96nDnq6MzPVWY5RFApdDVJj3&q={searchTerms}
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Zip: C:\FRST\Quarantine
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.


Скачайте AV block remover.
Сохраните утилиту только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads), запустите и следуйте инструкциям.
Если не запускается, запустите её в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

[GoDzi]

Снова логи)

 

[Severnyj]

Вопрос, а Касперский вообще функционирует, или вы его для сбора логов отключали?

 

[GoDzi]

Вопрос, а Касперский вообще функционирует, или вы его для сбора логов отключали?

Он даже не запускался, установить получилось, но старта нет

Он даже не запускался, установить получилось, но старта нет

после всех шагов сверху имеет смысл попробовать?

 

[Severnyj]

после всех шагов сверху имеет смысл попробовать?

Пока не имеет, поскольку он своей самозащитой мешает до конца выполнить скрипт.

Деинсталлируйте его через Параметры - Программы, затем перезагрузите систему, удалите в корзину старые и подготовьте новые логи FRST.txt и Addition.txt

 

[GoDzi]

Прилагаю

 

[Severnyj]

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
IFEO\avpui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\kldw.exe: [MinimumStackCommitInBytes] 1099466887
2025-03-24 11:05 - 2025-03-24 11:05 - 000000000 ___SH C:\ProgramData\tg.txt
2025-03-24 11:05 - 2025-03-24 11:05 - 000000000 ___SH C:\ProgramData\temp.txt
2025-03-23 22:47 - 2025-03-31 16:13 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
2025-03-23 22:46 - 2025-03-23 22:46 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
StartPowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowershell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

 

[GoDzi]

Логи

 

[Severnyj]

Еще один скрипт:


Выделите следующий код:

Start::
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\Users\Public"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionExtension ".exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.

Попробуйте скачать и установить триал-версию или бесплатную версию Касперского

 

[GoDzi]

Логи, сейчас попробую сделать касперского)

 

[GoDzi]

Логи, сейчас попробую сделать касперского)

Касперский установился, даже запустился на удивление, проверка в процессе

 

[akok]

Получается проблемы с ПК решены?

 

[GoDzi]

Получается проблемы с ПК решены?

Проверить это каким-то п.о. возможно? На мой любительский взгляд вроде бы все пришло в нормальное состояние, огромное спасибо всем вам за помощь, я думал проще будет просто купить новый нвме накопитель, т.к. на этом есть важные файлы, форматировать бы не получилось никак, еще раз огромная благодарность за все!)