внезапное торможение ПК и появление двух вирусов типа DPH

[eeerok0411]

всем добрый день! буквально вчера заметил проблему. пока играл ночью, решил прилечь на 5-15 минут, не сворачивая и не закрывая игру, а когда вернулся - передо мной предстал экран блокировки (которого быть не должно, если игра не закрыта и не свернута). после разблокировки рабочий стол прогружался по крайней мере минут 10 и появилась пустая командная строка без команд. спустя час-другой я решил выключить компьютер, но и тут возникла проблема - весь компьютер потух, кроме системника (который так и не выключился). после перезагрузки через кнопку ПК все же смог выключиться, однако сегодня я решил проверить ПК на наличие угроз через DR.web и обнаружилось 2 проблемы с ошибкой лечения: DPH.Process.Hollowing.EP и DPH.Process.CERT.Adware. также хочу сообщить, что при автоматической сборки логов программа зависла на какое-то время, а после этого в журнале на одной из операций появилось "операция прервана пользователем", логи прикрепляю, как и скриншот из dr web

CollectionLog-2025.08.25-16.49.zip

[Sandor]

Здравствуйте!

 

Вместо скриншота найдите, пожалуйста, отчёт cureit.log, упакуйте его в архив и прикрепите к следующему сообщению.

 

Через Параметры - Приложения деинсталлируйте нежелательное ПО:

Цитата

Bonjour

Driver Booster 11

FFF6D9C74FCF9740439B6AA860E2A9D0, версия 2.6.9

MalwareBytes 5.7.11

uFiler

Кнопки сервисов Яндекса на панели задач

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O22 - Tasks: EdgeUpdate - C:\Windows\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft')
O22 - Tasks: NodeUpdate - C:\Windows\System32\wscript.exe //nologo //B C:\Users\defan\AppData\Roaming\utorrent\pro\nodeupdate.vbs (sign: 'Microsoft')
O23 - Driver S3: cpuz158 - C:\Windows\temp\cpuz158\cpuz158_x64.sys (sign: 'Microsoft' - CPUID)
O23 - Driver S3: cpuz159 - C:\Windows\temp\cpuz159\cpuz159_x64.sys (sign: 'Microsoft' - CPUID)
O23 - Driver S3: cpuz160 - C:\Windows\temp\cpuz160\cpuz160_x64.sys (sign: 'Microsoft' - CPUID)

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Изменено 26 августа пользователем Sandor

[eeerok0411]

снова здравствуйте! вопрос, обязательно ли удаление ufiler? и второе, в HiJack отсутствовала самая первая строка, логи из DrWeb прикрепляю (их почему-то 2). также при перезагрузке ПК некоторые программы, у которых включён автозапуск (например, Steam) дали сбой.

cureit(6600).log cureit(10112).log FRST.txt Addition.txt

[Sandor]

13 часов назад, eeerok0411 сказал:

обязательно ли удаление ufiler?

Желательно. У него нехорошая репутация. В крайнем случае удалите, а по окончании лечения, если захотите, установите заново.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-3659387486-3268317005-2573690674-1001\...\Run: [ProtonVPN] => C:\Program Files\Proton\VPN\ProtonVPN.Launcher.exe (Нет файла)
  C:\Users\defan\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gengodcafomkgdpnbikipaeemahnbgda
  C:\Users\defan\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ojheglbfbphjgbcfdocaogckahihdaib
  C:\Users\defan\AppData\Local\Google\Chrome\User Data\Default\Extensions\eiigkogjgmohdllclmjmbnbmgecnfagl
  CHR HKU\S-1-5-21-3659387486-3268317005-2573690674-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  C:\Users\defan\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\ajbbgjnoplmkgfklknjidghpegommhpn
  C:\Users\defan\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\johadicbaknghondpibmecalecfbjnnm
  FirewallRules: [TCP Query User{DCDAFABD-960C-4164-84E6-C478FB83C3D3}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла
  FirewallRules: [UDP Query User{F452AA10-4872-4F9E-899E-F3E2D88085A8}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла
  cmd ECHO Y|CHKDSK D: /F
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[eeerok0411]

Fixlog.txt, ufiler удалил. прошу прощения за долгий ответ, был на работе

[Sandor]

Что сейчас с проблемой?

[eeerok0411]

добрый вечер! снова прошу прощения за долгий ответ, вроде как проблема исчезла, спасибо Вам огромное!