[РЕШЕНО] Опасение вируса

[RichardVirus]

Здравствуйте, хочу как минимум провести с вами профилактику компьютера на вирусы.
Обычно делаю проверку Dr Web cureit и он жалуется на 2 программы (RusExcel и WinWord), которые я скачивал как аналоги оригинальных программ с сайта softportal.

Хочу у вас узнать вирусные это программы или нет, сделал проверку dr web, но лог слишком много весит и не могу прикрепить файл. Его я загрузил на яндекс диск - https://disk.yandex.ru/d/F2pxwexO6nq5Rg

CollectionLog-2025.03.13-22.11.zip

[Sandor]

Здравствуйте!

 

Эти программы как минимум относятся к типу нежелательного ПО и могут содержать рекламные или вредоносные элементы.

Настоятельно рекомендую деинсталлировать их. Для работы с такими файлами можете установить бесплатный аналог "офиса", например, LibreOffice.

 

По очистке системы:

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(9);
RebootWindows(false);
end.

 

Компьютер перезагрузится. 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[RichardVirus]

Addition.txt FRST.txt

Avz выполнил

Изменено 14 марта пользователем RichardVirus

[Sandor]

Вопрос: обновления системы отключали самостоятельно?

[RichardVirus]

Только что, Sandor сказал:

Вопрос: обновления системы отключали самостоятельно?

с помощью данной проги, могу включить если нужно

[Sandor]

Не нужно.

 

1 час назад, Sandor сказал:

Настоятельно рекомендую деинсталлировать их

Вы всё же решили их оставить. Почему?

[RichardVirus]

1 минуту назад, Sandor сказал:

Не нужно.

 

Вы всё же решили их оставить. Почему?

Нужно удалить и затем проделать Ваши действия? Думал позже удалить просто

[Sandor]

Да, инструкции следует выполнять в том же порядке, в котором они даются.

Удалите программы, затем удалите старые и соберите новые логи FRST.txt и Addition.txt

+

Не обязательно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа, пожалуйста.

[RichardVirus]

Addition.txt FRST.txt

[Sandor]

Сделаем некоторую очистку:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {579333E6-80C8-44A2-AF1E-902CD4B8687F} - System32\Tasks\AsrAPPShop => C:\Program Files (x86)\ASRock Utility\APP Shop\AsrAPPShop.exe  (Нет файла)
  S3 HWiNFO_202; \??\C:\Users\AACE~1\AppData\Local\Temp\HWiNFO_x64_202.sys [X] <==== ВНИМАНИЕ
  S3 HWiNFO_204; \??\C:\Users\AACE~1\AppData\Local\Temp\HWiNFO_x64_204.sys [X] <==== ВНИМАНИЕ
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Защитник среагировал на объект D:\Arizona\Arizona Games Launcher\Arizona Games Launcher.exe с вердиктом PWS:Win32/Lineage.gen!C.dam - Category: Password Stealer

Поэтому желательно сменить важные пароли.

[RichardVirus]

Fixlog.txt

[Sandor]

Как себя ведёт система?

[RichardVirus]

Как минимум заметил, что если что-то делать на рабочем столе (удалить файл или переименовать файл), то чтобы увидеть изменения нужно пкм+обновить 

Еще в папке "пользователи" иероглифы стали какие-то

[Sandor]

Раньше было по-другому? Может и раньше так было, просто не замечали?

Сделайте ещё раз перезагрузку и проверьте.

[RichardVirus]

На счет иероглифов не знаю, в эту папку особо и не заходил
Перезагрузил пк и рабочий стол стал нормальным.
Я буду сейчас винду переустанавливать, подскажите что-то еще нужно делать или больше ничего?