Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Здравствуйте. После установки игры с неизвестного источника моим родственником, браузер Google Chrome начал 2-3 раза в день вылетать, при попытке зайти в настройки и например удалить историю он стал выдавать - некоторые настройки были изменены сторонним приложением, браузер вернул их по умолчанию. Еще что я заметил, это то, что окошко где находятся расширения после всех этих манипуляций всегда самостоятельно переходили в режим разработчика. Но буквально 30 минут назад на моих глаза из ни откуда появилось расширение torrent scanner, оказывается оно все это время существовало и во встроенном браузере от windows (microsoft edge) Благодаря беседе с одним модератором на форуме касперского, он сообщил мне что стоит обратиться сюда и что расширение установилось локально.

CollectionLog-2025.05.06-22.58.zip

Изменено пользователем Kataomi_3232
Опубликовано (изменено)

UPD:
Утилита Dr.web Curelt! нашла такую охапку (проводил проверку еще до создания поста)
Было принято решение поместить подозрительные файлы (последние 4) в корзину и удалить в ручную расширение в обоих браузерах. На данный момент браузеры работают нормально, но заметил просадки фпс в игре Dota 2 (Пк 12400f + 3060, раньше не было)
IMG_0171.jpeg.6a004a18538b1cb116440be8855decb9.jpeg

Изменено пользователем Kataomi_3232
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\nodejs\nodeupdate.vbs', '');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
 DeleteSchedulerTask('MyNode');
 DeleteSchedulerTask('OperaUpdateTask');
 DeleteFile('C:\Program Files (x86)\nodejs\nodeupdate.vbs', '64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Опубликовано

Addition.txt FRST.txt

 

К слову о скрипте выше, я же перекинул еще ночью зараженные файлы в корзину (не удалял) сработают ли команды удаления по обычному пути?

Опубликовано

Да, вижу, что в свежих логах нет ни файлов, ни запускающих их задач. Значит можно было и не выполнять скрипт. Впрочем, ошибки не было, даже при их отсутствии.

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    Task: {55EB8F76-6466-44E2-A3F7-38B8D3AEF0B0} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Нет файла)
    Task: {72CA5476-9B34-48D4-90D6-36DCEB644AE7} - System32\Tasks\OperaUpdate => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
    C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\jghgnonmoilljhamamlehdopdhkmkefn
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    C:\Users\user\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\mdcpdoglbfbdehamemajlpopaomfeeah
    S3 HWiNFO_173; \??\C:\Users\user\AppData\Local\Temp\HWiNFO64A_173.SYS [X] <==== ВНИМАНИЕ
    S3 HWiNFO_174; \??\C:\Users\user\AppData\Local\Temp\HWiNFO64A_174.SYS [X] <==== ВНИМАНИЕ
    S3 HWiNFO_180; \??\C:\Users\user\AppData\Local\Temp\HWiNFO64A_180.SYS [X] <==== ВНИМАНИЕ
    S3 HWiNFO_187; \??\C:\Users\user\AppData\Local\Temp\HWiNFO64A_187.SYS [X] <==== ВНИМАНИЕ
    S3 HWiNFO_190; \??\C:\Users\user\AppData\Local\Temp\HWiNFO64A_190.SYS [X] <==== ВНИМАНИЕ
    S3 HWiNFO_191; \??\C:\Users\user\AppData\Local\Temp\HWiNFO64A_191.SYS [X] <==== ВНИМАНИЕ
    S3 HWiNFO_204; \??\C:\Users\user\AppData\Local\Temp\HWiNFO_x64_204.sys [X] <==== ВНИМАНИЕ
    File: C:\Users\user\nodejs.dat
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader XI.lnk:74809202C5 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Immersive Control Panel.lnk:DC8F23BC3A [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook 2016.lnk:21BFFA7D5A [3442]
    AlternateDataStreams: C:\Users\user\AppData\Local\Temp:$DATA [16]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Опубликовано

Хорошо. Внешне сейчас какие-то проблемы есть?

Опубликовано

Браузеры с ночи работают хорошо, вылетов не наблюдалось. По просадкам в доте пока не могу сказать, нужно проверить.
После проверки запущу dr.web и скину результаты, если это конечно необходимо.
А так спасибо вам огромное за помощь.

Опубликовано
23 минуты назад, Kataomi_3232 сказал:

запущу dr.web и скину результаты

Сделайте, не помешает. Повторное сканирование KVRT тоже сделайте.

 

Завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Опубликовано

Извините за долгий ответ.
Вот логи полной проверки dr.web Curelt! - https://disk.yandex.ru/d/dkvmZ8mgynE-aw
Что касается KVRT, то отчеты тут защифрованны, попытался исполнить в cmd команду ./kvrt.run -- -dontencrypt (как указано на сайте) пишет - не является внутренней или внешней командой, исполняемой программой или пакетным файлом.
Логи SecurityCheck прикрепил. Просадки в доте пропали, браузеры работают нормально.

 

SecurityCheck.txt

Опубликовано

Логи были не обязательны, раз нет обнаружений. А то, что отчёт KVRT зашифрован, для нас не помеха ;)

 

Исправьте по возможности:

 

 

Kaspersky v.21.20.8.505 Внимание! Скачать обновления
CrystalDiskInfo 9.2.3 v.9.2.3 Внимание! Скачать обновления
Paint.NET v.5.1.2 Внимание! Скачать обновления
GIMP 2.10.38-1 v.2.10.38 Внимание! Скачать обновления
FastStone Image Viewer v.7.3 Внимание! Скачать обновления
Skype v.8.50.0.38 Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать Microsoft Teams.
Security Update for Skype for Business 2016 (KB4011159) 32-Bit Edition Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать Microsoft Teams.
Microsoft Skype for Business MUI (Russian) 2016 v.16.0.4266.1001 Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать Microsoft Teams.
µTorrent v.3.6.0.46900 Внимание! Клиент сети P2P с рекламным модулем!.
K-Lite Mega Codec Pack 17.8.0 v.17.8.0 Внимание! Скачать обновления
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

 

Опубликовано (изменено)

Спасибо за ответы, хотелось бы задать несколько вопросов.
1. Касперский же сам обновляет базы, я должен его заного скачать или как?
2. Торрент я удалил (папку снес из-за детекта касперского) самого приложения уже давным давно нет, стандартное удаление через панель управление не находит программу, ровно как и revo uninstaller.
UPD:
В доте наблюдаю просадки (может из-за эффектов) но ранее фпс стабильно держался в районе 180-220, сейчас бывает и до 70 просаживается, подозрительных процессов в диспетчере не наблюдаю.

Изменено пользователем Kataomi_3232
Опубликовано
13 минут назад, Kataomi_3232 сказал:

через панель управление не находит программу

Попробуйте самостоятельно в реестре найти ключи по слову utorrent

Если не получится, сообщите и удалим скриптом его упоминания.

 

14 минут назад, Kataomi_3232 сказал:

Касперский же сам обновляет базы

Базы и модули программы - это разные вещи. Но вы правы, спустя некоторое время и версия программы должна самостоятельно обновиться.

 

15 минут назад, Kataomi_3232 сказал:

может из-за эффектов

По играм - не подскажу. Посоветуйтесь в соседнем разделе.

Опубликовано (изменено)

Подскажите как искать эти ключи и открыть реестр.
UPD: 
Нашел в этих 5 папках значение - utorrent и разновидности application. Просто удалить эти папки?
image.png.6e481068ce1106bea2a3cff554f58bc3.png

Изменено пользователем Kataomi_3232
Опубликовано

Давайте всё же сделаем по-другому.

Скачайте ещё раз FRST64.exe

 

Запустите, в поле Search (Поиск) введите

utorrent


и нажмите Искать в реестре (Registry Search). Итоговый файл SearchReg.txt приложите к следующему сообщению.

 

Отвечу скорее всего завтра. Эти хвосты никак не влияют на работу системы, и тем более на проседание.

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • rancol347
      Автор rancol347
      Иногда проверяю компьютер КВРТ и он выдал 2 рекламных вируса/расширения. После лечения с перезагрузкой всё вроде нормально, но если через 2-3 дня проверить снова появляется 1-2 расширения (not-a-virus:HEUR:AdWare.js.extredirect.gen и ещё какой-то, но по названию самый обычный адварь). И могу ли запустить автологгер вместе с защитником виндовс? (я не понял как выгрузить) и компьютер теоретически должен выдержать.
    • para87
      Автор para87
      браузер Google Chrome  не всегда бывает  сам пытается перейти на сайт (byruthub.org   не надо на него переходить)  . Касперский останавливает переход на этот сайт.  
      я скачал   AV block remover (AVbr) v.4 подумал манер  тут safezone.cc запустил пишет скачайте новую версию. Его лог.  Я попробовал переименовал или  в другой место переместить  тоже самое.  Версия вроде новая.
      Malwarebytes обнаружила PUP.Optional.BundleInstaller я не чего с ними не делал лог вот 
       
      CollectionLog-2024.09.26-17.54.zip AV_block_remove_2024.09.26-18.07.log
      Malwarebytes Отчет о проверке 2024-09-26 182543.txt
    • notcrayzi
      Автор notcrayzi
      В последнее время начал замечать,что PC начал тормозить и очень часто начали вылетать синий экран с ошибкой critical process died. Решил через время проверить на вирус с помощью Windows антивируса. Он показывал всё чисто.Но вопрос остался открытым. Решил скачать MalwareBytes. И тут показался этот жук. Он его находит и пытается удалить по пути C:\ProgrameData\Google\Chrome\updater.exe . Помогите,пожалуйста. Готов уже полностью сносить систему

      Dr.Web не помог,так же сказал,что всё чисто
       
    • Waraq3
      Автор Waraq3
      Доброго времени суток! Помогите пожалуйста удалить вот такую заразу. 
      Файлы сканирования farbar прилагаю сразу по примеру из аналогичной темы.
      Спасибо!
      farbar files.rar CollectionLog-2023.10.03-14.57.zip
    • TIMICHI
      Автор TIMICHI
      Здравствуйте, появилась такая же проблема. Уже удалил 110 вирусов с помощью Malwerbytes. Что ещё можно сделать? Файлы прикрепляю.
      FRST.txt Addition.txt
×
×
  • Создать...