[РЕШЕНО] HEUR:Trojan.JS.Trolec.gen по пути C:\Program Files\Client Helper

[preamble]

Приветствую!

Нашел странную директорию по пути C:\Program Files\Client Helper. В директории имелся логотип Steam и явно должен был притворяться его оверлеем. 

 

Проверил через Kaspersky Free, файлы были помещены в карантин (директории потенциально опасных файлов приведены на скриншоте). После этого, поспешил деинсталировать вредоносный софт Client Helper 6.1.6, однако, полагаю, что после подобного стоит перепроверить логи еще раз. Отмечу, что после деинсталяции Kaspersky Free вирусов не диагностирует. Наверное, хотелось бы понять причину попадания вируса в том числе

 

Помимо этого, в логах не нашел информации об этом, однако, директория была создана 24.11.2024 (к сожалению, сканирование логов устроил после удаления).

 

Замечу, что я не замечал каких-либо подозрительных изменений в поведении ПК на протяжении всего времени

CollectionLog-2025.03.30-21.11.zip

Изменено 30 марта пользователем preamble

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe','64');
 DeleteSchedulerTask('RunGame');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[preamble]

Благодарю за ответ!

 

Прикрепляю файл с логами

 

Имя файла quarantine.7z в системе VIRUSNET: 2025.03.30_quarantine_c934a7d98e1585218aa367a4d4dccdc1.7z

CollectionLog-2025.03.30-22.32.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[preamble]

FRSTlogs.7z

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Tasks: \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker - C:\WINDOWS\system32\MusNotification.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Location\Notifications - C:\WINDOWS\System32\LocationNotificationWindows.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\NetTrace\GatherNetworkInfo - C:\WINDOWS\system32\gatherNetworkInfo.vbs (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\PI\SecureBootEncodeUEFI - C:\WINDOWS\system32\SecureBootEncodeUEFI.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Security\Pwdless\IntelligentPwdlessTask - {8702A841-D5CA-47C3-812D-9CEDC304C200} - (no file)
O22 - Tasks_Migrated: EdgeUpdate - C:\WINDOWS\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft')
O22 - Tasks_Migrated: EdgeUpdateTaskUser - C:\Windows\System32\wscript.exe /b "C:\ProgramData\Microsoft\wext.vbs" (sign: 'Microsoft')
O22 - Tasks_Migrated: RunGame - C:\Program Files\Client Helper\Client Helper.exe /schtask (file missing)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe  (Нет файла)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
C:\Users\kingo\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bjjlonnmmboaebegibndbjlecahnffmn
C:\Users\kingo\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\kjoihjjhigiigegicbhlbhehjndeldif
S3 ace-game-0; \SystemRoot\System32\drivers\ace-game-0.sys [X]
2025-03-30 02:06 - 2024-11-17 22:43 - 000000000 ____D C:\Users\kingo\AppData\Local\clienthelper-updater
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
HKU\S-1-5-21-2171818267-4057130338-4092302827-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
HKU\S-1-5-21-2171818267-4057130338-4092302827-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-2171818267-4057130338-4092302827-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-2171818267-4057130338-4092302827-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
FirewallRules: [UDP Query User{17CDB794-EBE1-42AE-883E-3B92DB66EFF2}Z:\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) Z:\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{C633DC1F-3B07-4670-8366-01427FAB296A}Z:\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) Z:\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{955F557F-81C7-4F13-B1E2-0F2D69022C66}] => (Allow) Z:\Steam\steamapps\common\PUBG\TslGame\Binaries\Win64\ExecPubg.exe => Нет файла
FirewallRules: [{5D8C8473-F586-45F0-ACCB-393AEBD0123B}] => (Allow) Z:\Steam\steamapps\common\PUBG\TslGame\Binaries\Win64\ExecPubg.exe => Нет файла
FirewallRules: [UDP Query User{43AE6E30-2AB6-40AD-B2EF-1F1EA88F2EC6}D:\games\forza horizon 4 ultimate edition\forzahorizon4.exe] => (Block) D:\games\forza horizon 4 ultimate edition\forzahorizon4.exe => Нет файла
FirewallRules: [TCP Query User{2FFF88D8-C33E-406C-AB02-DB8F51940181}D:\games\forza horizon 4 ultimate edition\forzahorizon4.exe] => (Block) D:\games\forza horizon 4 ultimate edition\forzahorizon4.exe => Нет файла
FirewallRules: [TCP Query User{6FBCD213-7C76-479D-8936-B87023436E3C}D:\software\moonlight\moonlight.exe] => (Allow) D:\software\moonlight\moonlight.exe => Нет файла
FirewallRules: [{709239CE-2C9C-46D3-AE1C-5AA791895645}] => (Allow) D:\Moonlight\Moonlight.exe => Нет файла
FirewallRules: [UDP Query User{41526646-EC03-48C3-86B1-3AC1AB626425}C:\users\kingo\appdata\local\programs\guilded\guilded.exe] => (Allow) C:\users\kingo\appdata\local\programs\guilded\guilded.exe => Нет файла
FirewallRules: [TCP Query User{97D2418A-CF0F-4A74-910A-83FB41F56016}C:\users\kingo\appdata\local\programs\guilded\guilded.exe] => (Allow) C:\users\kingo\appdata\local\programs\guilded\guilded.exe => Нет файла
FirewallRules: [UDP Query User{F3F27B2E-247A-425C-AEB4-993AAAFC5015}C:\users\kingo\downloads\anydesk (1).exe] => (Allow) C:\users\kingo\downloads\anydesk (1).exe => Нет файла
FirewallRules: [TCP Query User{3A741121-C62F-43C1-87FC-4D2019440FA3}C:\users\kingo\downloads\anydesk (1).exe] => (Allow) C:\users\kingo\downloads\anydesk (1).exe => Нет файла
FirewallRules: [UDP Query User{7484ADAD-397B-4552-A817-E90E1733BEB3}C:\program files\rudesktop\rudesktop.exe] => (Allow) C:\program files\rudesktop\rudesktop.exe => Нет файла
FirewallRules: [TCP Query User{C1012755-4607-4DB4-AB8D-F3F7C3B2F8D1}C:\program files\rudesktop\rudesktop.exe] => (Allow) C:\program files\rudesktop\rudesktop.exe => Нет файла
FirewallRules: [UDP Query User{DF082932-003E-42A9-A83B-04E0DD897663}C:\users\kingo\appdata\local\element-desktop\app-1.11.78\element.exe] => (Allow) C:\users\kingo\appdata\local\element-desktop\app-1.11.78\element.exe => Нет файла
FirewallRules: [TCP Query User{2E1C16D1-B6B2-4D43-9875-73E32A66C80C}C:\users\kingo\appdata\local\element-desktop\app-1.11.78\element.exe] => (Allow) C:\users\kingo\appdata\local\element-desktop\app-1.11.78\element.exe => Нет файла
FirewallRules: [UDP Query User{4322808B-A6F0-4CF7-A45E-19AD186D3E53}C:\program files\windowsapps\40345revoltcommunications.revolt.chat_1.0.6.0_x64__dr6jha9jswqj0\app\revolt.exe] => (Allow) C:\program files\windowsapps\40345revoltcommunications.revolt.chat_1.0.6.0_x64__dr6jha9jswqj0\app\revolt.exe => Нет файла
FirewallRules: [TCP Query User{4D969D3B-400D-477C-ACE1-6E0259229E1A}C:\program files\windowsapps\40345revoltcommunications.revolt.chat_1.0.6.0_x64__dr6jha9jswqj0\app\revolt.exe] => (Allow) C:\program files\windowsapps\40345revoltcommunications.revolt.chat_1.0.6.0_x64__dr6jha9jswqj0\app\revolt.exe => Нет файла
FirewallRules: [UDP Query User{E4D7D7D1-C4F6-4EF8-B739-AC28B83DAFCD}C:\users\kingo\downloads\utox_x86_64.exe] => (Allow) C:\users\kingo\downloads\utox_x86_64.exe => Нет файла
FirewallRules: [TCP Query User{9B1CF60B-A338-48B4-AAF9-5168E4CDE726}C:\users\kingo\downloads\utox_x86_64.exe] => (Allow) C:\users\kingo\downloads\utox_x86_64.exe => Нет файла
FirewallRules: [{0A9A3029-CDF5-4E26-8E30-5DF429C5697F}] => (Allow) Z:\Steam\steamapps\common\Control\Control.exe => Нет файла
FirewallRules: [{C9937D54-1795-4671-887A-2F33AE4480E3}] => (Allow) Z:\Steam\steamapps\common\Control\Control.exe => Нет файла
FirewallRules: [UDP Query User{016B88B6-2083-405D-80BF-F7BFFDD41F7D}D:\steamlibrary\steamapps\common\kletka_demo\kletka\binaries\win64\kletka-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\kletka_demo\kletka\binaries\win64\kletka-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{4DB27F03-BE94-47F1-B61D-A3B23D94DC04}D:\steamlibrary\steamapps\common\kletka_demo\kletka\binaries\win64\kletka-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\kletka_demo\kletka\binaries\win64\kletka-win64-shipping.exe => Нет файла
FirewallRules: [{214272FA-D37E-4197-AD1E-DEBC9B503A13}] => (Allow) Z:\Steam\steamapps\common\Lethal Company\Lethal Company.exe => Нет файла
FirewallRules: [{83D399E6-4597-4467-9FDB-A67BBF10CD94}] => (Allow) Z:\Steam\steamapps\common\Lethal Company\Lethal Company.exe => Нет файла
FirewallRules: [UDP Query User{35680AFD-47C1-4827-AB93-BBD7A20574FB}C:\users\kingo\appdata\local\discord\app-1.0.9163\discord.exe] => (Allow) C:\users\kingo\appdata\local\discord\app-1.0.9163\discord.exe => Нет файла
FirewallRules: [TCP Query User{F1BA8321-E9A0-46FF-8184-BD0FA322F349}C:\users\kingo\appdata\local\discord\app-1.0.9163\discord.exe] => (Allow) C:\users\kingo\appdata\local\discord\app-1.0.9163\discord.exe => Нет файла
FirewallRules: [{1F6DA136-5AE3-45C1-8A42-8BC2DEC01F46}] => (Allow) Z:\Steam\steamapps\common\Counter-Strike Global Offensive\game\bin\win64\cs2.exe => Нет файла
FirewallRules: [{935D4B68-3022-4B1D-9C5F-3C582B0531E2}] => (Allow) Z:\Steam\steamapps\common\Counter-Strike Global Offensive\game\bin\win64\cs2.exe => Нет файла
FirewallRules: [{4036F061-3BAC-434B-8F95-7A6696CF0856}] => (Allow) D:\SteamLibrary\steamapps\common\WOH\worldofhorror.exe => Нет файла
FirewallRules: [{BF8852A1-C906-4016-88CA-74FDCBB55687}] => (Allow) D:\SteamLibrary\steamapps\common\WOH\worldofhorror.exe => Нет файла
FirewallRules: [{A3246786-DB44-45A2-B8F0-047BC523571D}] => (Allow) Z:\Steam\steamapps\common\Yakuza Kiwami\media\YakuzaKiwami.exe => Нет файла
FirewallRules: [{6513A107-4E4A-4CB9-888E-9326B5BC0B61}] => (Allow) Z:\Steam\steamapps\common\Yakuza Kiwami\media\YakuzaKiwami.exe => Нет файла
FirewallRules: [TCP Query User{4D1C6029-FA4D-434C-810D-F214CB740167}D:\steamlibrary\steamapps\common\forzahorizon4\forzahorizon4.exe] => (Allow) D:\steamlibrary\steamapps\common\forzahorizon4\forzahorizon4.exe => Нет файла
FirewallRules: [UDP Query User{BFDF5373-7D96-4056-861B-26585EF38FAE}D:\steamlibrary\steamapps\common\forzahorizon4\forzahorizon4.exe] => (Allow) D:\steamlibrary\steamapps\common\forzahorizon4\forzahorizon4.exe => Нет файла
FirewallRules: [{D66FCE44-A805-4098-8761-EFD1BC1F342F}] => (Allow) D:\SteamLibrary\steamapps\common\Yakuza Kiwami 2\YakuzaKiwami2.exe => Нет файла
FirewallRules: [{F61A24F5-B5DF-4B1C-9E06-0CADB1D6A925}] => (Allow) D:\SteamLibrary\steamapps\common\Yakuza Kiwami 2\YakuzaKiwami2.exe => Нет файла
FirewallRules: [TCP Query User{4FDD3A8C-9694-4679-A372-47AC2D973347}D:\steamlibrary\steamapps\common\ruiner\ruiner\binaries\win64\ruiner-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\ruiner\ruiner\binaries\win64\ruiner-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{4C9D62A7-FD72-4581-AC8B-D6753C230539}D:\steamlibrary\steamapps\common\ruiner\ruiner\binaries\win64\ruiner-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\ruiner\ruiner\binaries\win64\ruiner-win64-shipping.exe => Нет файла
FirewallRules: [{F684742F-179B-400F-9AA1-0C40A1EE60CB}] => (Allow) C:\Users\kingo\AppData\Local\DeltaForceMiniloader\DeltaForceMiniloader.exe => Нет файла
FirewallRules: [{E27B078A-B645-407C-8FF3-A285DEF0EBFF}] => (Allow) C:\Users\kingo\AppData\Local\DeltaForceMiniloader\DeltaForceMiniloader.exe => Нет файла
FirewallRules: [{9853BABE-F638-45D7-B74E-A3E616BC32F5}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{34FFC927-F79B-44DD-8557-E9968D7E9B29}] => (Allow) D:\SteamLibrary\steamapps\common\SoulcaliburVI\SoulcaliburVI\Binaries\Win64\SoulcaliburVI.exe => Нет файла
FirewallRules: [{ECF9AF72-5227-4008-9DFA-7B36D2B03755}] => (Allow) D:\SteamLibrary\steamapps\common\SoulcaliburVI\SoulcaliburVI\Binaries\Win64\SoulcaliburVI.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[preamble]

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

[preamble]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Git v.2.46.2 Внимание! Скачать обновления
HWiNFO® 64 v.8.14 Внимание! Скачать обновления
Node.js v.22.9.0 Внимание! Скачать обновления
GitHub Desktop v.3.4.5 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.97.2 Внимание! Скачать обновления
Wireshark 4.4.3 x64 v.4.4.3 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Яндекс.Диск v.3.2.43.5081 Внимание! Скачать обновления
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления
Discord v.1.0.9003 Внимание! Скачать обновления
Java SE Development Kit 8 Update 411 (64-bit) v.8.0.4110.25 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-23_windows-x64_bin.exe).
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-x64.exe - Windows Offline (64-bit))^
Java 8 Update 431 v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-i586.exe - Windows Offline)^

 

На этом закончим.

[preamble]

Огромное вам спасибо за помощь! 🫶

 

Но, судя по логам, я лично не нашел никакого взаимодействия вируса с системой, кроме таска RunGame для его обновления... Полагаю, что на какой-либо урон можно не рассчитывать или диагностике подобное не поддается?

 

(Хотя, опять же, за прошедшее время не заметил каких-либо изменений. Ни взлома аккаунтов, ни тормозов системы)

Изменено 31 марта пользователем preamble

[thyrex]

Это приложение появляется обычно вместе с фальшивыми торрент-качалками. Но это у Вас произошло судя по всему еще в прошлом году, и даже этих фальшивок в системе не установлено. Так что волноваться не стоит.

[preamble]

В таком случае, уже окончательно благодарю за помощь и консультацию! Доброе дело делаете!

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".