Перейти к содержанию
Правила раздела

[РЕШЕНО] HEUR:Trojan.JS.Trolec.gen по пути C:\Program Files\Client Helper

preamble

Автор preamble
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

preamble

preamble

Опубликовано
Опубликовано (изменено)

Приветствую!

Нашел странную директорию по пути C:\Program Files\Client Helper. В директории имелся логотип Steam и явно должен был притворяться его оверлеем. 

 

Проверил через Kaspersky Free, файлы были помещены в карантин (директории потенциально опасных файлов приведены на скриншоте). После этого, поспешил деинсталировать вредоносный софт Client Helper 6.1.6, однако, полагаю, что после подобного стоит перепроверить логи еще раз. Отмечу, что после деинсталяции Kaspersky Free вирусов не диагностирует. Наверное, хотелось бы понять причину попадания вируса в том числе

 

Помимо этого, в логах не нашел информации об этом, однако, директория была создана 24.11.2024 (к сожалению, сканирование логов устроил после удаления).

 

Замечу, что я не замечал каких-либо подозрительных изменений в поведении ПК на протяжении всего времени

image.png

CollectionLog-2025.03.30-21.11.zip

Изменено пользователем preamble
thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe','64');
 DeleteSchedulerTask('RunGame');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

preamble

preamble

Опубликовано
  • Автор
Опубликовано

Благодарю за ответ!

 

Прикрепляю файл с логами

 

Имя файла quarantine.7z в системе VIRUSNET: 2025.03.30_quarantine_c934a7d98e1585218aa367a4d4dccdc1.7z

CollectionLog-2025.03.30-22.32.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Tasks: \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker - C:\WINDOWS\system32\MusNotification.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Location\Notifications - C:\WINDOWS\System32\LocationNotificationWindows.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\NetTrace\GatherNetworkInfo - C:\WINDOWS\system32\gatherNetworkInfo.vbs (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\PI\SecureBootEncodeUEFI - C:\WINDOWS\system32\SecureBootEncodeUEFI.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Security\Pwdless\IntelligentPwdlessTask - {8702A841-D5CA-47C3-812D-9CEDC304C200} - (no file)
O22 - Tasks_Migrated: EdgeUpdate - C:\WINDOWS\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft')
O22 - Tasks_Migrated: EdgeUpdateTaskUser - C:\Windows\System32\wscript.exe /b "C:\ProgramData\Microsoft\wext.vbs" (sign: 'Microsoft')
O22 - Tasks_Migrated: RunGame - C:\Program Files\Client Helper\Client Helper.exe /schtask (file missing)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe  (Нет файла)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
C:\Users\kingo\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bjjlonnmmboaebegibndbjlecahnffmn
C:\Users\kingo\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\kjoihjjhigiigegicbhlbhehjndeldif
S3 ace-game-0; \SystemRoot\System32\drivers\ace-game-0.sys [X]
2025-03-30 02:06 - 2024-11-17 22:43 - 000000000 ____D C:\Users\kingo\AppData\Local\clienthelper-updater
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
HKU\S-1-5-21-2171818267-4057130338-4092302827-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
HKU\S-1-5-21-2171818267-4057130338-4092302827-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-2171818267-4057130338-4092302827-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-2171818267-4057130338-4092302827-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
FirewallRules: [UDP Query User{17CDB794-EBE1-42AE-883E-3B92DB66EFF2}Z:\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) Z:\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{C633DC1F-3B07-4670-8366-01427FAB296A}Z:\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) Z:\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{955F557F-81C7-4F13-B1E2-0F2D69022C66}] => (Allow) Z:\Steam\steamapps\common\PUBG\TslGame\Binaries\Win64\ExecPubg.exe => Нет файла
FirewallRules: [{5D8C8473-F586-45F0-ACCB-393AEBD0123B}] => (Allow) Z:\Steam\steamapps\common\PUBG\TslGame\Binaries\Win64\ExecPubg.exe => Нет файла
FirewallRules: [UDP Query User{43AE6E30-2AB6-40AD-B2EF-1F1EA88F2EC6}D:\games\forza horizon 4 ultimate edition\forzahorizon4.exe] => (Block) D:\games\forza horizon 4 ultimate edition\forzahorizon4.exe => Нет файла
FirewallRules: [TCP Query User{2FFF88D8-C33E-406C-AB02-DB8F51940181}D:\games\forza horizon 4 ultimate edition\forzahorizon4.exe] => (Block) D:\games\forza horizon 4 ultimate edition\forzahorizon4.exe => Нет файла
FirewallRules: [TCP Query User{6FBCD213-7C76-479D-8936-B87023436E3C}D:\software\moonlight\moonlight.exe] => (Allow) D:\software\moonlight\moonlight.exe => Нет файла
FirewallRules: [{709239CE-2C9C-46D3-AE1C-5AA791895645}] => (Allow) D:\Moonlight\Moonlight.exe => Нет файла
FirewallRules: [UDP Query User{41526646-EC03-48C3-86B1-3AC1AB626425}C:\users\kingo\appdata\local\programs\guilded\guilded.exe] => (Allow) C:\users\kingo\appdata\local\programs\guilded\guilded.exe => Нет файла
FirewallRules: [TCP Query User{97D2418A-CF0F-4A74-910A-83FB41F56016}C:\users\kingo\appdata\local\programs\guilded\guilded.exe] => (Allow) C:\users\kingo\appdata\local\programs\guilded\guilded.exe => Нет файла
FirewallRules: [UDP Query User{F3F27B2E-247A-425C-AEB4-993AAAFC5015}C:\users\kingo\downloads\anydesk (1).exe] => (Allow) C:\users\kingo\downloads\anydesk (1).exe => Нет файла
FirewallRules: [TCP Query User{3A741121-C62F-43C1-87FC-4D2019440FA3}C:\users\kingo\downloads\anydesk (1).exe] => (Allow) C:\users\kingo\downloads\anydesk (1).exe => Нет файла
FirewallRules: [UDP Query User{7484ADAD-397B-4552-A817-E90E1733BEB3}C:\program files\rudesktop\rudesktop.exe] => (Allow) C:\program files\rudesktop\rudesktop.exe => Нет файла
FirewallRules: [TCP Query User{C1012755-4607-4DB4-AB8D-F3F7C3B2F8D1}C:\program files\rudesktop\rudesktop.exe] => (Allow) C:\program files\rudesktop\rudesktop.exe => Нет файла
FirewallRules: [UDP Query User{DF082932-003E-42A9-A83B-04E0DD897663}C:\users\kingo\appdata\local\element-desktop\app-1.11.78\element.exe] => (Allow) C:\users\kingo\appdata\local\element-desktop\app-1.11.78\element.exe => Нет файла
FirewallRules: [TCP Query User{2E1C16D1-B6B2-4D43-9875-73E32A66C80C}C:\users\kingo\appdata\local\element-desktop\app-1.11.78\element.exe] => (Allow) C:\users\kingo\appdata\local\element-desktop\app-1.11.78\element.exe => Нет файла
FirewallRules: [UDP Query User{4322808B-A6F0-4CF7-A45E-19AD186D3E53}C:\program files\windowsapps\40345revoltcommunications.revolt.chat_1.0.6.0_x64__dr6jha9jswqj0\app\revolt.exe] => (Allow) C:\program files\windowsapps\40345revoltcommunications.revolt.chat_1.0.6.0_x64__dr6jha9jswqj0\app\revolt.exe => Нет файла
FirewallRules: [TCP Query User{4D969D3B-400D-477C-ACE1-6E0259229E1A}C:\program files\windowsapps\40345revoltcommunications.revolt.chat_1.0.6.0_x64__dr6jha9jswqj0\app\revolt.exe] => (Allow) C:\program files\windowsapps\40345revoltcommunications.revolt.chat_1.0.6.0_x64__dr6jha9jswqj0\app\revolt.exe => Нет файла
FirewallRules: [UDP Query User{E4D7D7D1-C4F6-4EF8-B739-AC28B83DAFCD}C:\users\kingo\downloads\utox_x86_64.exe] => (Allow) C:\users\kingo\downloads\utox_x86_64.exe => Нет файла
FirewallRules: [TCP Query User{9B1CF60B-A338-48B4-AAF9-5168E4CDE726}C:\users\kingo\downloads\utox_x86_64.exe] => (Allow) C:\users\kingo\downloads\utox_x86_64.exe => Нет файла
FirewallRules: [{0A9A3029-CDF5-4E26-8E30-5DF429C5697F}] => (Allow) Z:\Steam\steamapps\common\Control\Control.exe => Нет файла
FirewallRules: [{C9937D54-1795-4671-887A-2F33AE4480E3}] => (Allow) Z:\Steam\steamapps\common\Control\Control.exe => Нет файла
FirewallRules: [UDP Query User{016B88B6-2083-405D-80BF-F7BFFDD41F7D}D:\steamlibrary\steamapps\common\kletka_demo\kletka\binaries\win64\kletka-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\kletka_demo\kletka\binaries\win64\kletka-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{4DB27F03-BE94-47F1-B61D-A3B23D94DC04}D:\steamlibrary\steamapps\common\kletka_demo\kletka\binaries\win64\kletka-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\kletka_demo\kletka\binaries\win64\kletka-win64-shipping.exe => Нет файла
FirewallRules: [{214272FA-D37E-4197-AD1E-DEBC9B503A13}] => (Allow) Z:\Steam\steamapps\common\Lethal Company\Lethal Company.exe => Нет файла
FirewallRules: [{83D399E6-4597-4467-9FDB-A67BBF10CD94}] => (Allow) Z:\Steam\steamapps\common\Lethal Company\Lethal Company.exe => Нет файла
FirewallRules: [UDP Query User{35680AFD-47C1-4827-AB93-BBD7A20574FB}C:\users\kingo\appdata\local\discord\app-1.0.9163\discord.exe] => (Allow) C:\users\kingo\appdata\local\discord\app-1.0.9163\discord.exe => Нет файла
FirewallRules: [TCP Query User{F1BA8321-E9A0-46FF-8184-BD0FA322F349}C:\users\kingo\appdata\local\discord\app-1.0.9163\discord.exe] => (Allow) C:\users\kingo\appdata\local\discord\app-1.0.9163\discord.exe => Нет файла
FirewallRules: [{1F6DA136-5AE3-45C1-8A42-8BC2DEC01F46}] => (Allow) Z:\Steam\steamapps\common\Counter-Strike Global Offensive\game\bin\win64\cs2.exe => Нет файла
FirewallRules: [{935D4B68-3022-4B1D-9C5F-3C582B0531E2}] => (Allow) Z:\Steam\steamapps\common\Counter-Strike Global Offensive\game\bin\win64\cs2.exe => Нет файла
FirewallRules: [{4036F061-3BAC-434B-8F95-7A6696CF0856}] => (Allow) D:\SteamLibrary\steamapps\common\WOH\worldofhorror.exe => Нет файла
FirewallRules: [{BF8852A1-C906-4016-88CA-74FDCBB55687}] => (Allow) D:\SteamLibrary\steamapps\common\WOH\worldofhorror.exe => Нет файла
FirewallRules: [{A3246786-DB44-45A2-B8F0-047BC523571D}] => (Allow) Z:\Steam\steamapps\common\Yakuza Kiwami\media\YakuzaKiwami.exe => Нет файла
FirewallRules: [{6513A107-4E4A-4CB9-888E-9326B5BC0B61}] => (Allow) Z:\Steam\steamapps\common\Yakuza Kiwami\media\YakuzaKiwami.exe => Нет файла
FirewallRules: [TCP Query User{4D1C6029-FA4D-434C-810D-F214CB740167}D:\steamlibrary\steamapps\common\forzahorizon4\forzahorizon4.exe] => (Allow) D:\steamlibrary\steamapps\common\forzahorizon4\forzahorizon4.exe => Нет файла
FirewallRules: [UDP Query User{BFDF5373-7D96-4056-861B-26585EF38FAE}D:\steamlibrary\steamapps\common\forzahorizon4\forzahorizon4.exe] => (Allow) D:\steamlibrary\steamapps\common\forzahorizon4\forzahorizon4.exe => Нет файла
FirewallRules: [{D66FCE44-A805-4098-8761-EFD1BC1F342F}] => (Allow) D:\SteamLibrary\steamapps\common\Yakuza Kiwami 2\YakuzaKiwami2.exe => Нет файла
FirewallRules: [{F61A24F5-B5DF-4B1C-9E06-0CADB1D6A925}] => (Allow) D:\SteamLibrary\steamapps\common\Yakuza Kiwami 2\YakuzaKiwami2.exe => Нет файла
FirewallRules: [TCP Query User{4FDD3A8C-9694-4679-A372-47AC2D973347}D:\steamlibrary\steamapps\common\ruiner\ruiner\binaries\win64\ruiner-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\ruiner\ruiner\binaries\win64\ruiner-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{4C9D62A7-FD72-4581-AC8B-D6753C230539}D:\steamlibrary\steamapps\common\ruiner\ruiner\binaries\win64\ruiner-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\ruiner\ruiner\binaries\win64\ruiner-win64-shipping.exe => Нет файла
FirewallRules: [{F684742F-179B-400F-9AA1-0C40A1EE60CB}] => (Allow) C:\Users\kingo\AppData\Local\DeltaForceMiniloader\DeltaForceMiniloader.exe => Нет файла
FirewallRules: [{E27B078A-B645-407C-8FF3-A285DEF0EBFF}] => (Allow) C:\Users\kingo\AppData\Local\DeltaForceMiniloader\DeltaForceMiniloader.exe => Нет файла
FirewallRules: [{9853BABE-F638-45D7-B74E-A3E616BC32F5}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{34FFC927-F79B-44DD-8557-E9968D7E9B29}] => (Allow) D:\SteamLibrary\steamapps\common\SoulcaliburVI\SoulcaliburVI\Binaries\Win64\SoulcaliburVI.exe => Нет файла
FirewallRules: [{ECF9AF72-5227-4008-9DFA-7B36D2B03755}] => (Allow) D:\SteamLibrary\steamapps\common\SoulcaliburVI\SoulcaliburVI\Binaries\Win64\SoulcaliburVI.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

thyrex

thyrex

Опубликовано
Опубликовано

По возможности исправьте:

 

Git v.2.46.2 Внимание! Скачать обновления
HWiNFO® 64 v.8.14 Внимание! Скачать обновления
Node.js v.22.9.0 Внимание! Скачать обновления
GitHub Desktop v.3.4.5 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.97.2 Внимание! Скачать обновления
Wireshark 4.4.3 x64 v.4.4.3 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Яндекс.Диск v.3.2.43.5081 Внимание! Скачать обновления
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления
Discord v.1.0.9003 Внимание! Скачать обновления
Java SE Development Kit 8 Update 411 (64-bit) v.8.0.4110.25 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-23_windows-x64_bin.exe).
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-x64.exe - Windows Offline (64-bit))^
Java 8 Update 431 v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-i586.exe - Windows Offline)^

 

На этом закончим.

preamble

preamble

Опубликовано
  • Автор
Опубликовано (изменено)

Огромное вам спасибо за помощь! 🫶

 

Но, судя по логам, я лично не нашел никакого взаимодействия вируса с системой, кроме таска RunGame для его обновления... Полагаю, что на какой-либо урон можно не рассчитывать или диагностике подобное не поддается?

 

(Хотя, опять же, за прошедшее время не заметил каких-либо изменений. Ни взлома аккаунтов, ни тормозов системы)

Изменено пользователем preamble
thyrex

thyrex

Опубликовано
Опубликовано

Это приложение появляется обычно вместе с фальшивыми торрент-качалками. Но это у Вас произошло судя по всему еще в прошлом году, и даже этих фальшивок в системе не установлено. Так что волноваться не стоит.

  • Like (+1) 1
preamble

preamble

Опубликовано
  • Автор
Опубликовано

В таком случае, уже окончательно благодарю за помощь и консультацию! Доброе дело делаете!

thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • shougo04
      Client Helper+Командная строка запускается при загрузке Windows+Возможные следы троянов
      Автор shougo04
      Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40-60%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. 
       
      Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы.  В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините.
      Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner.
       
      На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 
      2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались.
       
       
      Скрин подозрительной активности в Планировщике 
      MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log CollectionLog-2025.12.18-10.38.zip
    • shougo04
      Client Helper вирус, помогите
      Автор shougo04
      Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. 
       
      Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы.  В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините.
      Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner.
       
      На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 
      2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались, так что хз.
       
       
      Скрин подозрительной активности в Планировщике.
       
       
      MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log
    • Stone_Pickle
      Неизвестный вирус возможно в Program Files\Client Helper
      Автор Stone_Pickle
      Добрый день, на двух компах спустя два месяца после установки одной игрушки пошли проблемы, а именно повышенная нагрузка на ЦП\ГП и слетел PATCH(наверное) к ping arp ipconfig и прочим консольным командам.
      Касперский, Др.Веб, АВЗ под PE и на боевой системе ничего не нашли, подозреваю неизвестный софт по пути из заголовка C:\Program Files\Client Helper
      Windows 10, Windows 11 

      Прикладываю логи с двух компьютеров, буду признателен за любую помощь. Очень не хочется переустанавливать системы
      CollectionLog-2025.03.24-20.59.zip CollectionLog-2025.03.24-21.04.zip
    • lamer
      Функция в js
      Автор lamer
      function fio($id3,$id4) 

      var tx=document.getElementById($id3).value; 
      var s1=tx.substring(0,44); 
      var s2=tx.substring(44,64); 
      var s3=tx.substring(64,85); 
      var s4=document.getElementById($id4).value; 
      var s5; 
      var x=[]; 
      x[1]=s4.split(' ',1); 
      s4=s4.replace(x[1]+' ',''); 
      x[2]=s4.split(' ',1); 
      s4=s4.replace(x[2]+' ',''); 
      x[3]=s4; 
      s5=s1+x[1]+s2+x[2]+s3+x[3]+"';"; 
      alert(s5); 
      return s5; 
      }  
      данная функция не возвращает значение, не пойму по какой причине, alert выдает корректное значение!
      Подскажите в чем может быть проблема?
    • jonikppk
      Вирус RAA.
      Автор jonikppk
      Добрый день. Пользователю было прислано письмо с вложенным файлом dat. Естественно он его открыл. Все файлы (.doc, .xls, .pdf) были зашифрованы. Появились файлы с названием Readme с угрозами и названием шифровальщика (RAA). Был найден через реестр в автозапуске файл с расширением .js. В общем в наличии имею файл который был прислан (расширение .dat), java script который висел в автозапуске (расширение .js), ну и зашифрованные файлы (расширение .locked). Что нибудь и этого может мне помочь? Если надо все вышлю
       

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
×
×
  • Создать...