Встроенный антивирус постоянно ругается на наличие вирусов в системе. Проверьте, пожалуйста, и посоветуйте что делать.
Заранее спасибо.

Уважаемый(ая) Filviktor, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).

Деинсталлируйте программу Web Companion.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки (http://virusinfo.info/showthread.php?t=4491):
O4 - Startup: C:\Users\Panasonic\AppData\Roaming\Microsoft\Windo ws\Start Menu\Programs\Startup\RT-Updater.lnk -> C:\Ross-Tech\VCDS\VCDS.exe (file missing) Update
O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: hxxp://webcompanion.com
O22 - Tasks: \Microsoft\Windows\CUAssistant\CULauncher - C:\Program Files\CUAssistant\culauncher.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\CUAssistant\CULauncher - C:\Program Files\CUAssistant\culauncher.exe (file missing)
O22 - Tasks_Migrated: Opera scheduled Autoupdate 1543150509 - C:\Users\Panasonic\AppData\Local\Programs\Opera\la uncher.exe --scheduledautoupdate $(Arg0) (file missing)
O23 - Service S2: McAfee WebAdvisor - C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe (file missing)
Скачайте, распакуйте и запустите утилиту ClearLNK (https://virusinfo.info/soft/tool.php?tool=ClearLNK). Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
>>> "C:\Users\Panasonic\Downloads\opera autoupdate\CUsersPanasonicAppDataLocalProgramsOper a\installing\Opera Browser.lnk" -> ["C:\Users\Panasonic\AppData\Local\Programs\Opera\la uncher.exe"]
>>> "C:\Users\Panasonic\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\Opera Browser.lnk" -> ["C:\Users\Panasonic\AppData\Local\Programs\Opera\la uncher.exe"]
>>> "C:\Users\Public\Desktop\Offboard Diagnostic Information System.lnk" -> ["C:\Program Files\OS\OffboardDiagLauncher.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VCDS\VCDS Release 24.7.lnk" -> ["C:\Ross-Tech\VCDS\VCDS.EXE"]Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Сделал

Удалите расширение Web Safety в Хроме.

Выделите и скопируйте в буфер обмена следующий код:
Start::
CreateRestorePoint:
CloseProcesses:
Edge DefaultSearchURL: Default -> hxxps://find.fnavigate-on.com/results.aspx?q={searchTerms}&gd=RD1002792&searchsource=69&d=051422&n=0670
Edge DefaultSearchKeyword: Default -> yahoosearch
CHR DefaultSearchURL: Default -> hxxps://find.fnavigate-now.com/results.aspx?q={searchTerms}&gd=SY1004294&searchsource=58&d=051422&n=9998
CHR DefaultSearchKeyword: Default -> Yahoo Search
C:\Users\Panasonic\AppData\Local\Google\Chrome\Use r Data\Default\Extensions\mfhcmdonhekjhfbjmeacdjbhlf gpjabp
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
025-07-09 06:53 - 2022-05-15 11:31 - 000000000 ____D C:\Users\Panasonic\AppData\Local\Lavasoft
2025-07-09 06:53 - 2022-05-15 11:31 - 000000000 ____D C:\ProgramData\Lavasoft
FirewallRules: [{75F29627-0DE0-49C9-AD88-5B56F039E82B}] => (Allow) C:\Users\Panasonic\AppData\Local\Programs\Opera\87 .0.4390.45\opera.exe => No File
FirewallRules: [{F4F283B9-BDAA-46CE-B881-D977EC133EA4}] => (Allow) C:\Program Files (x86)\AOMEI\AOMEI Backupper\6.9.1\ABService.exe => No File
FirewallRules: [{D750AC12-C358-41C1-AA35-328327B0F080}] => (Allow) C:\Program Files (x86)\AOMEI\AOMEI Backupper\6.9.1\ABService.exe => No File
FirewallRules: [{536DCCDA-5B91-4B22-93E2-BD3B49F0C098}] => (Allow) C:\Program Files\VW_PDUAPI_OS\PduProtocolLayerJ2534.exe => No File
FirewallRules: [{60743B78-296F-49D3-BE01-0C78D51E31B5}] => (Allow) C:\Program Files\VW_PDUAPI_OS\PduProtocolLayerVector.exe => No File
FirewallRules: [TCP Query User{8B25C87F-ED8F-4E13-BD36-3E21B1AF349F}C:\program files\wsa sideloader\platform-tools\adb.exe] => (Allow) C:\program files\wsa sideloader\platform-tools\adb.exe => No File
FirewallRules: [UDP Query User{E43A111E-1CA7-4911-88BD-7914E8F15848}C:\program files\wsa sideloader\platform-tools\adb.exe] => (Allow) C:\program files\wsa sideloader\platform-tools\adb.exe => No File
FirewallRules: [{46024EA7-2DE4-443D-98A9-538C892D9DAC}] => (Allow) C:\Ross-Tech\VCDS\VCDS.EXE => No File
File: C:\ProgramData\Synaptics\Synaptics.exe
Virusscan: C:\Users\Panasonic\Desktop\Idecoder\16415494711221 35\Decoder.exe
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1189.1 - AVAST Software) Hidden
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
del /q C:\WINDOWS\MEMORY.DMP >nul
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Вставлять код никуда не нужно, программа возьмёт его из буфера обмена. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Прикрепил

Что за программа в папке C:\Users\Panasonic\Desktop\Idecoder - в курсе? Файл
C:\Users\Panasonic\Desktop\Idecoder\16415494711221 35\Decoder.exe - явный бэкдор: https://virusscan.jotti.org/filescanjob/0kvmy8t45p
Проверьте этот файл ещё на https://www.virustotal.com и дайте ссылку на результат.

Ну и троян (https://www.virustotal.com/gui/file/f46eeada1dbca94211c85bfe71510c2e9bf39ae0176c02573e 922f65766a1914/detection), маскирующийся под драйвера Synaptics почистим скриптом. Описание его у Касперского: Trojan.Win32.XRed.mg (https://threats.kaspersky.com/ru/threat/Trojan.Win32.XRed.mg/)

Выделите и скопируйте в буфер обмена следующий код:
Start::
(explorer.exe ->) (Synaptics) [File not signed] C:\ProgramData\Synaptics\Synaptics.exe
CloseProcesses:
HKU\S-1-5-21-3128231633-142196264-472748635-1000\...\Run: [Synaptics Pointing Device Driver] => C:\ProgramData\Synaptics\Synaptics.exe [771584 2025-07-08] (Synaptics) [File not signed] <==== ATTENTION
2025-07-09 06:53 - 2022-05-15 11:31 - 000000000 ____D C:\Users\Panasonic\AppData\Local\Lavasoft
HKU\S-1-5-21-3128231633-142196264-472748635-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (No File) <==== ATTENTION
2025-07-08 19:42 - 2025-02-22 08:42 - 000000000 __SHD C:\ProgramData\Synaptics
CreateRestorePoint:
Reboot:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Эта программа нужна иногда мне для работыб она позволяет считывать пин коды с компьютеров двигателя автомобилей, для установки их в другие авто. Может поэтому считается вредоносной.
https://www.virustotal.com/gui/file/621960a42cd447b9f76ca9da44c10e4a15e2a46166834bc622 ceedb184b63eb5

Остальное сделал.

А запускаете именно этот файл, из подпапки 1641549471122135, или что-то из папки Idecoder на рабочем столе? Потому что этот конкретный файл - троян без вариантов. Переместите его из этой папки и пролверьте работоспособность программы.

Сделайте проверку с помощью KVRT (https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool), пока ничего не лечите и не удаляйте. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

А запускаете именно этот файл
Раньше запускал его, давно программой не пользовался, только что проверил, не работает. Говорит имя файла было поменяно. Ссылка на файл который работает.
https://www.virustotal.com/gui/file/6f4064aa8bae68291cf631a01c7c4fd46d11ce3bc0952f37e6 b8a655b3a49887

Ссылка на файл который работает.
https://www.virustotal.com/gui/file/6f4064aa8bae68291cf631a01c7c4fd46d11ce3bc0952f37e6 b8a655b3a49887

Этот файл менее стрёмно выглядит. А вот И C:\Ross-Tech\VCDS\VCDSLoader X2.exe такой же, видимо, троян/бэкдор, как и C:\Users\Panasonic\Desktop\Idecoder\16415494711221 35\Decoder.exe
Проверьте его для верности на virustotal.

https://www.virustotal.com/gui/file/40b68486939996dfabeb0f49001526f2a163a887f40dc9dff6 0127fc6ff712a8
Да выглядит плохо, я могу с ними попрощаться, VCDS перестал работать тоже.

Да, то же самое. В детектах присутствует RAT, Backdoor, т. е. компьютер мог быть под удалённым управлением, когда троян работал, как служба, до выполнения скрипта в FRST. ПО двойного назначения, так сказать.