Пароли не сохраняются в браузерах и в приложениях на компьютере. Подозреваю, что это какой-то вирусняк.

Уважаемый(ая) Альфарий42, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).

вот логи

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe (http://virusinfo.info/showthread.php?t=7239):
begin
RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Run','user','x32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Run','Wondershare Helper Compact.exe','x64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Run','UniConverterUpd ateHelper','x64');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Run','user','x64');
DeleteSchedulerTask('DelayedItemsByChemtableSoftwa re\user');
DeleteSchedulerTask('user');
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.Компьютер перезагрузится.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK (https://virusinfo.info/soft/tool.php?tool=ClearLNK). Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Вот пожалуйста

Удалите расширение Adblock Plus - бесплатный блокировщик рекламы в MS Edge.

Выделите и скопируйте в буфер обмена следующий код:
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {FDAE23FE-C232-4B8F-9401-E0EED02DC940} - System32\Tasks\RunGame => C:\Program Files\Client Helper\Client Helper.exe [146320896 2024-09-13] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
C:\Program Files\Client Helper
CHR HKU\S-1-5-21-1858490991-1863520647-2344672187-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\ Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
HKU\S-1-5-21-1858490991-1863520647-2344672187-1000\...\StartupApproved\Run: => "user"
FirewallRules: [{5E4475B2-37D5-478C-B1B6-BBEEBCAF4BD8}] => (Allow) D:\STEAM\steamapps\common\Total War WARHAMMER III\launcher\launcher.exe => Нет файла
FirewallRules: [{1999BF5A-FC21-4E5D-948A-066B64B76748}] => (Allow) D:\STEAM\steamapps\common\Total War WARHAMMER III\launcher\launcher.exe => Нет файла
FirewallRules: [TCP Query User{AC4F5500-9652-403E-8C23-BA9B8C1DC2B8}D:\steam\steamapps\common\total war warhammer iii\warhammer3.exe] => (Allow) D:\steam\steamapps\common\total war warhammer iii\warhammer3.exe => Нет файла
FirewallRules: [UDP Query User{67991E8D-D971-4BB0-915B-84F3004CEFE6}D:\steam\steamapps\common\total war warhammer iii\warhammer3.exe] => (Allow) D:\steam\steamapps\common\total war warhammer iii\warhammer3.exe => Нет файла
FirewallRules: [TCP Query User{7B28C293-5B7A-4B2E-9046-6D314A66C85E}D:\warhammer 40000 space marine 2\client_pc\root\bin\pc\magnusclientretail.exe] => (Allow) D:\warhammer 40000 space marine 2\client_pc\root\bin\pc\magnusclientretail.exe => Нет файла
FirewallRules: [UDP Query User{5D88DCAE-453A-4951-8A82-B5F94BAF213D}D:\warhammer 40000 space marine 2\client_pc\root\bin\pc\magnusclientretail.exe] => (Allow) D:\warhammer 40000 space marine 2\client_pc\root\bin\pc\magnusclientretail.exe => Нет файла
FirewallRules: [{1BCEA928-8CCD-4ACB-BA60-ED3C2915C056}] => (Allow) C:\Users\user\AppData\Local\Wondershare\Wondershar e NativePush\WsToastNotification.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\a4f6aed4-d157-5902-92eb-b261259b5270
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Сообщите, что с проблемой.

Вот лог, чуть позже отпишусь, посмотрим что да как

Удалите расширение Adblock Plus - бесплатный блокировщик рекламы в MS Edge.

Выделите и скопируйте в буфер обмена следующий код:
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {FDAE23FE-C232-4B8F-9401-E0EED02DC940} - System32\Tasks\RunGame => C:\Program Files\Client Helper\Client Helper.exe [146320896 2024-09-13] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
C:\Program Files\Client Helper
CHR HKU\S-1-5-21-1858490991-1863520647-2344672187-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\ Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
HKU\S-1-5-21-1858490991-1863520647-2344672187-1000\...\StartupApproved\Run: => "user"
FirewallRules: [{5E4475B2-37D5-478C-B1B6-BBEEBCAF4BD8}] => (Allow) D:\STEAM\steamapps\common\Total War WARHAMMER III\launcher\launcher.exe => Нет файла
FirewallRules: [{1999BF5A-FC21-4E5D-948A-066B64B76748}] => (Allow) D:\STEAM\steamapps\common\Total War WARHAMMER III\launcher\launcher.exe => Нет файла
FirewallRules: [TCP Query User{AC4F5500-9652-403E-8C23-BA9B8C1DC2B8}D:\steam\steamapps\common\total war warhammer iii\warhammer3.exe] => (Allow) D:\steam\steamapps\common\total war warhammer iii\warhammer3.exe => Нет файла
FirewallRules: [UDP Query User{67991E8D-D971-4BB0-915B-84F3004CEFE6}D:\steam\steamapps\common\total war warhammer iii\warhammer3.exe] => (Allow) D:\steam\steamapps\common\total war warhammer iii\warhammer3.exe => Нет файла
FirewallRules: [TCP Query User{7B28C293-5B7A-4B2E-9046-6D314A66C85E}D:\warhammer 40000 space marine 2\client_pc\root\bin\pc\magnusclientretail.exe] => (Allow) D:\warhammer 40000 space marine 2\client_pc\root\bin\pc\magnusclientretail.exe => Нет файла
FirewallRules: [UDP Query User{5D88DCAE-453A-4951-8A82-B5F94BAF213D}D:\warhammer 40000 space marine 2\client_pc\root\bin\pc\magnusclientretail.exe] => (Allow) D:\warhammer 40000 space marine 2\client_pc\root\bin\pc\magnusclientretail.exe => Нет файла
FirewallRules: [{1BCEA928-8CCD-4ACB-BA60-ED3C2915C056}] => (Allow) C:\Users\user\AppData\Local\Wondershare\Wondershar e NativePush\WsToastNotification.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\a4f6aed4-d157-5902-92eb-b261259b5270
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Сообщите, что с проблемой.




пока что у меня все без изменений

Сделайте лог Malwarebytes AdwCleaner (https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546).

Сделайте лог Malwarebytes AdwCleaner (https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546).
Вот пожалуйста

А файла обычного лога, вида AdwCleaner[Sxx].txt не создано? Попробуйте ещё раз.

А файла обычного лога, вида AdwCleaner[Sxx].txt не создано? Попробуйте ещё раз.

вот пожалуйста

Новый лог Farbar Recovery Scan Tool сделайте.

Новый лог Farbar Recovery Scan Tool сделайте.

Вот пожалуйста

В каких браузерах проблема? Установлены Google Chrome и MS Edge. Вирусов нет. Имогутткакие-то расширения влиять. Пробуйте сброс настроек браузера.

В каких браузерах проблема? Установлены Google Chrome и MS Edge. Вирусов нет. Имогутткакие-то расширения влиять. Пробуйте сброс настроек браузера.

Проблема не только в браузере. Пользуюсь Google. Проблема со всеми программами и сайтами. STEAM, uBISOFT и т.д. Вообщем любые манипуляции с аккаунтами, даже на вашем сайте у меня из аккаунта выкидывает. Каждый раз вводить логин и пароль во всех программах и сайтах уже утомило.

Что-то странное.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe (https://virusinfo.info/showthread.php?t=7239):
begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-PowerShell/Operational" "Windows PowerShell.evtx"', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Doctor Web" "Doctor Web.evtx"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.
В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Что-то странное.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe (https://virusinfo.info/showthread.php?t=7239):
begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-PowerShell/Operational" "Windows PowerShell.evtx"', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Doctor Web" "Doctor Web.evtx"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.
В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.





https://drive.google.com/file/d/1l6cxMnDa8H9l9irmQCPrRAVcmq_TNFJA/view?usp=sharing ВОТ

https://drive.google.com/file/d/1l6cxMnDa8H9l9irmQCPrRAVcmq_TNFJA/view?usp=sharing ВОТ

Будет ли какая-то помощь? или тема уже заброшена и нужно делать новый запрос

Не приходили оповещения об ответах в теме, + был в отпуске, упустил.
Но я не вижу ничего по тематике этого форума. Возможно, аппаратные проблемы, вылетают приложения, зависают службы. Разгона нет?
Может быть, что-то у провайдера. Когда началось?

Не приходили оповещения об ответах в теме, + был в отпуске, упустил.
Но я не вижу ничего по тематике этого форума. Возможно, аппаратные проблемы, вылетают приложения, зависают службы. Разгона нет?
Может быть, что-то у провайдера. Когда началось?

Разгона нет, приложения не вылетают, все работает стабильно, началось все примерно 4 месяца назад, но спонтанно. Просто не пойму сам в чем проблема.

Сделайте проверку с помощью KVRT (https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool). Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

Сделайте проверку с помощью KVRT (https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool). Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.
вот лог

"C:\Users\user\AppData\Local\clienthelper-updater\installer.exe" Info="HEUR:Trojan.Win32.Inject.gen"
Удалили, есть изменения?

Сделайте новый лог FRST.

Удалили, есть изменения?

Сделайте новый лог FRST.

пока что без изменений все.

Внимание, куки браузеров будут очищены, при входе на сайты с авторизацией последует запрос пароля? все вкладки браузеров будут закрыты,сохраните заранее нужные в закладках

Выделите и скопируйте в буфер обмена следующий код:
Start::
CreateRestorePoint:
CloseProcesses:
Task: {31297670-0393-4AE4-A9E0-DE8E704E9BFD} - System32\Tasks\EdgeUpdateTaskUser => C:\Windows\System32\wscript.exe [197120 2025-01-15] (Microsoft Windows -> Microsoft Corporation) -> /b "C:\ProgramData\Microsoft\wext.vbs" <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\wext.vbs
C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gdhaehkgfkgkmkchjfaimbogbd bfmalk
File: D:\Games\MO2\ModOrganizer.exe
Shortcut: C:\Users\user\Desktop\Programms\HoYoPlay.lnk -> C:\Program Files\HoYoPlay\launcher.exe (Нет файла)
Shortcut: C:\Users\user\AppData\Roaming\Microsoft\Office\Пос ледние файлы\Дело 33-2550_2024. Определение суда апелляционной инстанции. документ - обезличенная копия (1).LNK -> C:\Users\user\Desktop\Дело 33-2550_2024. Определение суда апелляционной инстанции. документ - обезличенная копия (1).doc (Нет файла)
Shortcut: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\13e8067e070745b3\HoYoP lay.lnk -> C:\Program Files\HoYoPlay\launcher.exe (Нет файла)
Emptytemp:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Проблема не после установки WeMod началась?

Внимание, куки браузеров будут очищены, при входе на сайты с авторизацией последует запрос пароля? все вкладки браузеров будут закрыты,сохраните заранее нужные в закладках

Выделите и скопируйте в буфер обмена следующий код:
Start::
CreateRestorePoint:
CloseProcesses:
Task: {31297670-0393-4AE4-A9E0-DE8E704E9BFD} - System32\Tasks\EdgeUpdateTaskUser => C:\Windows\System32\wscript.exe [197120 2025-01-15] (Microsoft Windows -> Microsoft Corporation) -> /b "C:\ProgramData\Microsoft\wext.vbs" <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\wext.vbs
C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gdhaehkgfkgkmkchjfaimbogbd bfmalk
File: D:\Games\MO2\ModOrganizer.exe
Shortcut: C:\Users\user\Desktop\Programms\HoYoPlay.lnk -> C:\Program Files\HoYoPlay\launcher.exe (Нет файла)
Shortcut: C:\Users\user\AppData\Roaming\Microsoft\Office\Пос ледние файлы\Дело 33-2550_2024. Определение суда апелляционной инстанции. документ - обезличенная копия (1).LNK -> C:\Users\user\Desktop\Дело 33-2550_2024. Определение суда апелляционной инстанции. документ - обезличенная копия (1).doc (Нет файла)
Shortcut: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\13e8067e070745b3\HoYoP lay.lnk -> C:\Program Files\HoYoPlay\launcher.exe (Нет файла)
Emptytemp:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Проблема не после установки WeMod началась?


Насчет WeMod не могу сказать, проблема началась давно.

После данного исправления как? Кэши стима и браузеров очищены, могло помочь.

пока что все работает исправно.

- - - - -Добавлено - - - - -

расскажите как осуществлять вам перевод по функции помогите+? не выставляются реквизиты для перевода средств и оплаты подписки кроме paypal.

Этот сервис не работает, фактически. оплата невозможна.

Этот сервис не работает, фактически. оплата невозможна.


Вообщем, проблема не решается, сколько бы я вас не мучал, возможно необходимо будет переустановить windows, спасибо вам за все, что пытались сделать для меня.

Погодите, попробуем ещё инструмент.

Скачайте утилиту Universal Virus Sniffer отсюда (https://yadi.sk/d/6A65LkI1WEuqC) и сделайте полный образ автозапуска uVS (https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810).
Если не влезет во вложения - ссылкой на облако.

Погодите, попробуем ещё инструмент.

Скачайте утилиту Universal Virus Sniffer отсюда (https://yadi.sk/d/6A65LkI1WEuqC) и сделайте полный образ автозапуска uVS (https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810).
Если не влезет во вложения - ссылкой на облако.

НЕ ПОЛУЧИЛОСЬ загрузить в rar формате, пришлось вам скидывать в формате txt

Куда скинули? там в формате .7z должно получиться, если всё верно делали.

Куда скинули? там в формате .7z должно получиться, если всё верно делали.

У Меня не получается загрузить сюда лог, поэтому выставлю на сайте.

https://drive.google.com/file/d/1lKWWCFzAdCznv2G1we82yrERSrqb24wN/view?usp=drive_link

Ничего в явном виде вредоносного. Удалите AdGuard, больше идей нет.