Вирус по пути c:\programdata\google\chrome

[FL_Sasha]

нашел сегодня вирус по пути C:\programdata\google\chrome, сам гугл не разу не устанавливал, антивирусы пытались удалить не один десяток раз, не увенчалось успехом, я пытался удалить вручную, папка вернулась на место, внутри пусто, антивирусы находя какие то файлы по типу updater.exe и другие, пытался открыть с помощью far manager, он тоже ничего не нашел, как только открываю диспетчер процессор с 40-70% падает на 5-20% (просмотрено по msi afterburner), подскажите что делать, заранее спасибо 

Изменено вчера в 13:14 пользователем FL_Sasha

[FL_Sasha]

почитал у других пользователей с той же проблемой и решил сделать что там говорят вот файлы

Addition.txt FRST.txt

[Sandor]

Здравствуйте!

 

25 минут назад, FL_Sasha сказал:

антивирусы пытались удалить не один десяток раз

Какие антивирусы? Отчёты удаления остались?

 

Соберите стандартный комплект логов по правилам - Порядок оформления запроса о помощи

[FL_Sasha]

к сожалению нет

 

kaspersky removal tool помог вроде как, спасибо вам

Изменено вчера в 13:44 пользователем FL_Sasha

[thyrex]

3 часа назад, FL_Sasha сказал:

kaspersky removal tool помог вроде как

Только службы системные возможно и остались поврежденными. Поэтому лучше выполните то, о чем просят.

[FL_Sasha]

22 часа назад, thyrex сказал:

Только службы системные возможно и остались поврежденными. Поэтому лучше выполните то, о чем просят.

вирус снова вернулся после перезагрузки пк(

[FL_Sasha]

6 минут назад, FL_Sasha сказал:

вирус снова вернулся после перезагрузки пк(

я вспомнил может это из за кмс авто? (прога для активации виндовс), может мне стоит винду переустановить? только подскажите как лучше с носителя или из системы? (так называемая кнопка сброса)

 

[thyrex]

Вот и выполняйте правила, как было сказано выше. Справимся без переустановки.

[FL_Sasha]

19 минут назад, FL_Sasha сказал:

я вспомнил может это из за кмс авто? (прога для активации виндовс), может мне стоит винду переустановить? только подскажите как лучше с носителя или из системы? (так называемая кнопка сброса)

 

на рабочем столе все работает как и должно цп в 2% но при открытии игры цп подлетает до 40-50% при открытии диспетчера задач это значение падает до 20-30% что это может быть?

 

18 минут назад, thyrex сказал:

Вот и выполняйте правила, как было сказано выше. Справимся без переустановки.

из autologger создался только один файл, выбрал за один месяц так как моему пк недели 2, скопировал все что там было написано и вставил в новый файл, еще файл логов и из FRST 

Новый текстовый документ.txt

CollectionLog-2025.07.21-16.52.zip

Addition.txt FRST.txt

[thyrex]

2 часа назад, FL_Sasha сказал:

при открытии игры цп подлетает до 40-50% при открытии диспетчера задач это значение падает до 20-30%

это не признак наличия вируса.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
C:\Users\FL_Sasha\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\maoeklmfipllpjkaiikfbmidkgpjjcnj
C:\Users\FL_Sasha\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\hgplfmkggeggbgkciajlcogcgdeemfke
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1535488 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3456512 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
Folder: C:\ProgramData\Google
Folder: C:\Users\FL_Sasha\Desktop\AutoLogger
File: C:\Users\FL_Sasha\AppData\Local\Temp\dControl.exe
File: C:\Users\FL_Sasha\AppData\Local\Temp\KMSAuto++ x64.exe
C:\ProgramData\Google
2025-07-19 10:22 - 2025-07-19 10:22 - 000000599 _____ () C:\Users\FL_Sasha\setup.dat
AlternateDataStreams: C:\Users\FL_Sasha\Downloads\msert.exe:MBAM.Zone.Identifier [202]
File: C:\Users\FL_Sasha\AppData\Local\Temp\KMSAuto++ x64.exe
FirewallRules: [TCP Query User{946EA1E8-37B0-4525-A637-E9DA535BEBDF}E:\programs\telegram desktop\telegram.exe] => (Allow) E:\programs\telegram desktop\telegram.exe => Нет файла
FirewallRules: [UDP Query User{8A928EE7-7CDB-443B-BFFE-3F3CE94D02AB}E:\programs\telegram desktop\telegram.exe] => (Allow) E:\programs\telegram desktop\telegram.exe => Нет файла
FirewallRules: [{0D143DC6-3060-44E1-BB9C-8C5A3483D913}] => (Block) E:\programs\telegram desktop\telegram.exe => Нет файла
FirewallRules: [{803BD283-69C8-4A72-B927-0C3B0EC3C4E2}] => (Block) E:\programs\telegram desktop\telegram.exe => Нет файла
FirewallRules: [TCP Query User{D5380022-2681-4BE2-AA68-2D69305130A4}E:\games\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe] => (Allow) E:\games\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{C42D1992-22F6-43D9-8C2E-7D2B1A37D17B}E:\games\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe] => (Allow) E:\games\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe => Нет файла
FirewallRules: [{91F3FCF4-1D9B-44A5-BEF6-342E166EFB06}] => (Block) E:\games\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe => Нет файла
FirewallRules: [{A42113FF-63D7-4721-92C3-3353AFE561A0}] => (Block) E:\games\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{0E057F99-6200-4FE2-BA57-20E8A2CB75CD}E:\games\hoyoplay\games\zenlesszonezero game\zenlesszonezero.exe] => (Allow) E:\games\hoyoplay\games\zenlesszonezero game\zenlesszonezero.exe => Нет файла
FirewallRules: [UDP Query User{DCBDF198-D984-484A-8F91-640B71610A62}E:\games\hoyoplay\games\zenlesszonezero game\zenlesszonezero.exe] => (Allow) E:\games\hoyoplay\games\zenlesszonezero game\zenlesszonezero.exe => Нет файла
FirewallRules: [{2CB5099E-692C-48A4-85F6-E1C51205B4E1}] => (Block) E:\games\hoyoplay\games\zenlesszonezero game\zenlesszonezero.exe => Нет файла
FirewallRules: [{384519DF-0F89-4870-81EE-C13ADC981C84}] => (Block) E:\games\hoyoplay\games\zenlesszonezero game\zenlesszonezero.exe => Нет файла
FirewallRules: [{4562E4E4-B91F-4837-AE09-1E6F6A898700}] => (Allow) D:\Новая\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{94C6F0C6-4DC4-44B4-8E7A-2CA613DE5FA8}] => (Allow) D:\Новая\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{F3BDB87F-2CB8-4FAD-9D41-1362A479347C}] => (Allow) C:\Users\FL_Sasha\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{6797814E-A4E6-420B-AD7D-CADCC661CA9B}] => (Allow) C:\Users\FL_Sasha\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{885C5B12-4CCC-4B06-9F40-0E26BE37EAE9}] => (Allow) C:\Users\FL_Sasha\AppData\Local\Programs\Opera\opera.exe => Нет файла
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
EndPowerShell:
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.