Собственно в названии темы указал, ребенок лазает где попало, что-то скачал/открыл видимо, в общем сегодня взломали его телеграм на компьютере, рассылают всякую дрянь контактам. Посмотрите пожалуйста на предмет наличия зловредов.

Уважаемый(ая) Sprinter, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).

Да, свежачок какой-то словили.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe (http://virusinfo.info/showthread.php?t=7239):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\program files (x86)\reference assemblies\vmnat.exe');
QuarantineFile('c:\program files (x86)\reference assemblies\vmnat.exe', '');
QuarantineFile('C:\Users\barabylka\AppData\Local\M icrosoft\Windows\Explorer\cache.jar', '');
QuarantineFile('C:\Users\barabylka\AppData\Local\T emp\atieclxx.exe', '');
QuarantineFile('C:\Users\barabylka\AppData\Local\y andexmusic-updater\dwengine.exe', '');
DeleteFile('c:\program files (x86)\reference assemblies\vmnat.exe', '');
DeleteFile('C:\Program Files (x86)\Reference Assemblies\vmnat.exe', '32');
DeleteFile('C:\Program Files (x86)\Reference Assemblies\vmnat.exe', '64');
DeleteFile('C:\Program Files\Client Helper\Client Helper.exe', '64');
DeleteFile('C:\Users\barabylka\AppData\Local\Micro soft\Windows\Explorer\cache.jar', '64');
DeleteFile('C:\Users\barabylka\AppData\Local\Temp\ atieclxx.exe', '64');
DeleteFile('C:\Users\barabylka\AppData\Local\yande xmusic-updater\dwengine.exe', '32');
DeleteFile('C:\Users\barabylka\AppData\Local\yande xmusic-updater\dwengine.exe', '64');
DeleteFileMask('c:\program files\client helper', '*', true);
DeleteFileMask('c:\users\barabylka\appdata\local\m icrosoft\windows\explorer', '*', true);
DeleteDirectory('c:\program files\client helper');
DeleteDirectory('c:\users\barabylka\appdata\local\ microsoft\windows\explorer');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'dwengine', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'dwengine', '64');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vmnat', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vmnat', '64');
DeleteSchedulerTask('atieclxx');
DeleteSchedulerTask('dwengine');
DeleteSchedulerTask('OneDrive\OneDriveUpdateTask') ;
DeleteSchedulerTask('Opera scheduled assistant Autoupdate 1734865082');
DeleteSchedulerTask('Opera scheduled Autoupdate 1734865077');
DeleteSchedulerTask('RunGame');
DeleteSchedulerTask('vmnat');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.
Сделал.


FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
И это сделал.

HEUR:Trojan-PSW.Win32.Coins.pef - детект Касперского.

Выделите и скопируйте в буфер обмена следующий код:
Start::
CreateRestorePoint:
HKLM-x32\...\Run: [vmware-tray.exe] => "D:\VMware\vmware-tray.exe" (Нет файла)
HKU\S-1-5-21-3363044832-3804895041-298399303-1001\...\Run: [AMDNoiseSuppression] => "C:\WINDOWS\system32\AMD\ANR\AMDNoiseSuppression.ex e" (Нет файла)
S2 VMAuthdService; D:\VMware\vmware-authd.exe [X]
S3 VmwareAutostartService; D:\VMware\vmware-autostart.exe [X]
2025-02-11 20:22 - 2024-12-02 23:37 - 000073728 _____ C:\tasksch
HKLM\...\StartupApproved\Run32: => "vmware-tray.exe"
HKU\S-1-5-21-3363044832-3804895041-298399303-1001\...\StartupApproved\Run: => "HELPER"
Client Helper 6.1.6 (HKLM\...\a4f6aed4-d157-5902-92eb-b261259b5270) (Version: 6.1.6 - ) <==== ВНИМАНИЕ
Virusscan: C:\Users\barabylka\Downloads\app-debug.apk
FirewallRules: [TCP Query User{50276DB2-8591-4EC1-8F76-78FB0B53C204}D:\beamng\beamng.drive 0.33.3.0\bin64\beamng.drive.x64.exe] => (Allow) D:\beamng\beamng.drive 0.33.3.0\bin64\beamng.drive.x64.exe => Нет файла
FirewallRules: [UDP Query User{0AEE6DB1-33BC-4956-B7B6-A35DF1614B9F}D:\beamng\beamng.drive 0.33.3.0\bin64\beamng.drive.x64.exe] => (Allow) D:\beamng\beamng.drive 0.33.3.0\bin64\beamng.drive.x64.exe => Нет файла
FirewallRules: [TCP Query User{1078F166-4A35-445B-841B-3D61A19C884F}C:\excellentrecode\runtime\bin\java.e xe] => (Allow) C:\excellentrecode\runtime\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{8283EB47-EA17-456D-BBF1-A8D7AB0420CA}C:\excellentrecode\runtime\bin\java.e xe] => (Allow) C:\excellentrecode\runtime\bin\java.exe => Нет файла
FirewallRules: [{1B0EA63F-5369-4370-B7DE-4932AF61B80E}] => (Block) C:\excellentrecode\runtime\bin\java.exe => Нет файла
FirewallRules: [{5D281482-2283-4652-80A9-DA67A3486373}] => (Block) C:\excellentrecode\runtime\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{123F9D4B-7C93-4D60-9D8A-2874218F8C60}C:\users\barabylka\desktop\njrat-0.7d-green-edition-by-im523-1-master\njrat 0.7d green edition by im523.exe] => (Allow) C:\users\barabylka\desktop\njrat-0.7d-green-edition-by-im523-1-master\njrat 0.7d green edition by im523.exe => Нет файла
FirewallRules: [UDP Query User{88EE8323-FC5A-41DE-B893-92010C768662}C:\users\barabylka\desktop\njrat-0.7d-green-edition-by-im523-1-master\njrat 0.7d green edition by im523.exe] => (Allow) C:\users\barabylka\desktop\njrat-0.7d-green-edition-by-im523-1-master\njrat 0.7d green edition by im523.exe => Нет файла
FirewallRules: [TCP Query User{8D558955-8DD6-4B3E-83D4-1A95AAF5B300}D:\steam\steamapps\common\garrysmod\b in\win64\gmod.exe] => (Allow) D:\steam\steamapps\common\garrysmod\bin\win64\gmod .exe => Нет файла
FirewallRules: [UDP Query User{2C2B7F17-ADC2-4303-9070-C159C926C743}D:\steam\steamapps\common\garrysmod\b in\win64\gmod.exe] => (Allow) D:\steam\steamapps\common\garrysmod\bin\win64\gmod .exe => Нет файла
FirewallRules: [{9e1774c3-98e6-40af-8541-024a12f07a1d}] => (Allow) D:\LDPlayer\LDPlayer9\dnplayer.exe => Нет файла
FirewallRules: [TCP Query User{0AEDFBD3-E5ED-440E-9C66-5A36A3BDD616}D:\call of duty 2\cod2mp_s.exe] => (Allow) D:\call of duty 2\cod2mp_s.exe => Нет файла
FirewallRules: [UDP Query User{6BD4137E-25F8-43D8-8016-A991DF4AF6F3}D:\call of duty 2\cod2mp_s.exe] => (Allow) D:\call of duty 2\cod2mp_s.exe => Нет файла
FirewallRules: [{125B74DA-B1CE-4225-9725-BCD78E1525AC}] => (Block) D:\call of duty 2\cod2mp_s.exe => Нет файла
FirewallRules: [{233102BF-82A4-41F1-8A6B-0D0846374E05}] => (Block) D:\call of duty 2\cod2mp_s.exe => Нет файла
FirewallRules: [TCP Query User{2C163825-45C6-4C06-9F01-2C6FE4621F70}D:\plague inc evolved\plagueincevolved.exe] => (Allow) D:\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [UDP Query User{F0F03291-7C06-45AC-BA5C-8CFEAF3054A4}D:\plague inc evolved\plagueincevolved.exe] => (Allow) D:\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [{0CF440E0-B7B8-4685-A661-F31D5FE3CE2E}] => (Block) D:\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [{79A29F8A-4DE5-4583-95C4-64E31A5D586A}] => (Block) D:\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [{3914E3EA-46FA-4639-A1A1-38B5D77227C7}] => (Allow) D:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{CE92C950-D010-46BB-8658-2661A7C91AB3}] => (Allow) D:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{C5CC0BD8-D8EE-48D8-A3AA-8DDFD56FF4C7}] => (Allow) D:\VMware\vmware-authd.exe => Нет файла
FirewallRules: [{E73C1AD4-0D1F-459C-91CA-F10FE73D937E}] => (Allow) D:\VMware\vmware-authd.exe => Нет файла
FirewallRules: [{29B54859-2F0F-4E2C-8A5A-A674C91E718C}] => (Allow) D:\bbb\BlueStacks X\Cloud Game.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
sfc /scannow
endbatch:
Reboot:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Деинсталлируйте устаревший и неиспользуемый Adobe Flash Player 32 PPAPI.

Программу Client Helper 6.1.6 удалите принудительно, с помощью Geek Uninstaller Free (https://geekuninstaller.com/ru/download).

Готово

Порядок.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj (https://yadi.sk/d/xIUtpEqJq4wru).
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.