Помогите удалить вирус - автокликер

[ggruzin]

Здравствуйте, помогите удалить вирус авто кликcollectionLog.rarер. Не находится анти вирусами kaspersky free, malwarebytes , лечащей утилитой KVRT
поймал на какой то копии сайта kinogo
Заранее спасибо!

[Sandor]

Здравствуйте!

 

Перепаковывать логи дополнительно не нужно, если об этом ничего не сказано.

 

Как именно проявляется наличие вируса в системе?

[ggruzin]

В 20.04.2025 в 19:23, Sandor сказал:

Здравствуйте!

 

Перепаковывать логи дополнительно не нужно, если об этом ничего не сказано.

 

Как именно проявляется наличие вируса в системе?

включается когда хочет и кликает в рандомные места экрана. таких мест может быть от 2х до 8ми я замечал

CollectionLog-2025.04.20-05.06.zip

[Sandor]

Цитировать полностью предыдущее сообщение не нужно. Пишите в нижнем поле быстрого ответа.

 

В логах нет признаков заражения.

Посмотрим ещё так:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Это ноутбук или стационарный компьютер?

Заменить мышку на заведомо исправную не пробовали?

 

Программу удалённого управления AnyDesk ставили самостоятельно?

[ggruzin]

У меня ноут. 
С мышкой все в порядке. 
Any Desk ставил давно. 
Я являюсь тех лидом QA , в ПО и технике разбираюсь нормально. 
во вложении видео и скрины работы вируса(слева вверху область клика). мне кажет он запускается из браузера. Поэтому не ловится.

 

Addition.txt Shortcut.txt FRST.txt

[Sandor]

27 минут назад, ggruzin сказал:

С мышкой все в порядке

Попробуйте физически отключить тачпад.

Проверьте также проявляются ли те же проблемы при загрузке в безопасном режиме.

 

В этих логах тоже ничего особо опасного не видно. Сделаем всё же некоторую очистку.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  CHR HKLM\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  CHR HKU\S-1-5-21-3913187062-3850927616-1684616509-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  CHR HKLM-x32\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

DAEMON Tools Lite можете деинсталлировать, т.к. начиная с 10 версии, Windows умеет самостоятельно монтировать iso образы.

[ggruzin]

готово

Fixlog.txt

[Sandor]

20 часов назад, Sandor сказал:

Попробуйте физически отключить тачпад.

Проверьте также проявляются ли те же проблемы при загрузке в безопасном режиме.

Это проверили?

[ggruzin]

в безопасном режиме проблем нет. 
с отключенным тач падом вирус работает

[Sandor]

1 час назад, ggruzin сказал:

в безопасном режиме проблем нет.

Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
 

[ggruzin]

все отключил как вы написал. но вирус проявлялся. 
во время действия вируса несколько раз запускал FRST64.exe 
в итоге дейсвие вируса не наблюдаю уже 2 дня. 
в общем пока наблюдаю за ситуацией. 
Спасибо! 

[Sandor]

Хорошо, проделайте завершающие шаги (тему пока не закрываем):

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[ggruzin]

Ошибся я . работает вирус. я просканировал еще раз во время работы вируса . все во вложении. 
насколько я разобрался, он запускается через некоторое время после того как начинается просмотр фильма онлайн на каком либо сайте. вирус пытается кликать в рандомные места для запуска перехода по рекламным ссылкам на странице, на которой идет просмотр фильма. если нажать Win + L то вирус выключается на некоторое время. 

Пока что действия описанный вами в предыдущем после не выполнял

Addition.txt FRST.txt

[Sandor]

Повторные логи Farbar не нужны, ничего нового в них не появилось.

Покажите отчёт полного сканирования Malwarebytes.

Сделайте также сканирование утилитой CureIt (её отчёт cureit.log тоже прикрепите).

[Sandor]

В 23.04.2025 в 11:46, ggruzin сказал:

У меня ноут

Часом не с тач скрином?

Если так, то боюсь, что это проблема "железа" и без сервис-центра не обойтись. Вспомнилось, как однажды у мне принесли подобный экземпляр, правда, там был Microsoft Surface и поведение было очень похоже на ваше.