Встроенный антивирус постоянно ругается на наличие вирусов в системе. Проверьте, пожалуйста, и посоветуйте что делать.
Заранее спасибо.
Printable View
Встроенный антивирус постоянно ругается на наличие вирусов в системе. Проверьте, пожалуйста, и посоветуйте что делать.
Заранее спасибо.
Уважаемый(ая) [B]Filviktor[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Деинсталлируйте программу Web Companion.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O4 - Startup: C:\Users\Panasonic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RT-Updater.lnk -> C:\Ross-Tech\VCDS\VCDS.exe (file missing) Update
O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: hxxp://webcompanion.com
O22 - Tasks: \Microsoft\Windows\CUAssistant\CULauncher - C:\Program Files\CUAssistant\culauncher.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\CUAssistant\CULauncher - C:\Program Files\CUAssistant\culauncher.exe (file missing)
O22 - Tasks_Migrated: Opera scheduled Autoupdate 1543150509 - C:\Users\Panasonic\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O23 - Service S2: McAfee WebAdvisor - C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe (file missing)[/code]
Скачайте, распакуйте и запустите [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\Panasonic\Downloads\opera autoupdate\CUsersPanasonicAppDataLocalProgramsOpera\installing\Opera Browser.lnk" -> ["C:\Users\Panasonic\AppData\Local\Programs\Opera\launcher.exe"]
>>> "C:\Users\Panasonic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera Browser.lnk" -> ["C:\Users\Panasonic\AppData\Local\Programs\Opera\launcher.exe"]
>>> "C:\Users\Public\Desktop\Offboard Diagnostic Information System.lnk" -> ["C:\Program Files\OS\OffboardDiagLauncher.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VCDS\VCDS Release 24.7.lnk" -> ["C:\Ross-Tech\VCDS\VCDS.EXE"][/CODE]Отчёт о работе прикрепите.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Сделал
Удалите расширение Web Safety в Хроме.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
Edge DefaultSearchURL: Default -> hxxps://find.fnavigate-on.com/results.aspx?q={searchTerms}&gd=RD1002792&searchsource=69&d=051422&n=0670
Edge DefaultSearchKeyword: Default -> yahoosearch
CHR DefaultSearchURL: Default -> hxxps://find.fnavigate-now.com/results.aspx?q={searchTerms}&gd=SY1004294&searchsource=58&d=051422&n=9998
CHR DefaultSearchKeyword: Default -> Yahoo Search
C:\Users\Panasonic\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
025-07-09 06:53 - 2022-05-15 11:31 - 000000000 ____D C:\Users\Panasonic\AppData\Local\Lavasoft
2025-07-09 06:53 - 2022-05-15 11:31 - 000000000 ____D C:\ProgramData\Lavasoft
FirewallRules: [{75F29627-0DE0-49C9-AD88-5B56F039E82B}] => (Allow) C:\Users\Panasonic\AppData\Local\Programs\Opera\87.0.4390.45\opera.exe => No File
FirewallRules: [{F4F283B9-BDAA-46CE-B881-D977EC133EA4}] => (Allow) C:\Program Files (x86)\AOMEI\AOMEI Backupper\6.9.1\ABService.exe => No File
FirewallRules: [{D750AC12-C358-41C1-AA35-328327B0F080}] => (Allow) C:\Program Files (x86)\AOMEI\AOMEI Backupper\6.9.1\ABService.exe => No File
FirewallRules: [{536DCCDA-5B91-4B22-93E2-BD3B49F0C098}] => (Allow) C:\Program Files\VW_PDUAPI_OS\PduProtocolLayerJ2534.exe => No File
FirewallRules: [{60743B78-296F-49D3-BE01-0C78D51E31B5}] => (Allow) C:\Program Files\VW_PDUAPI_OS\PduProtocolLayerVector.exe => No File
FirewallRules: [TCP Query User{8B25C87F-ED8F-4E13-BD36-3E21B1AF349F}C:\program files\wsa sideloader\platform-tools\adb.exe] => (Allow) C:\program files\wsa sideloader\platform-tools\adb.exe => No File
FirewallRules: [UDP Query User{E43A111E-1CA7-4911-88BD-7914E8F15848}C:\program files\wsa sideloader\platform-tools\adb.exe] => (Allow) C:\program files\wsa sideloader\platform-tools\adb.exe => No File
FirewallRules: [{46024EA7-2DE4-443D-98A9-538C892D9DAC}] => (Allow) C:\Ross-Tech\VCDS\VCDS.EXE => No File
File: C:\ProgramData\Synaptics\Synaptics.exe
Virusscan: C:\Users\Panasonic\Desktop\Idecoder\1641549471122135\Decoder.exe
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1189.1 - AVAST Software) Hidden
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
del /q C:\WINDOWS\MEMORY.DMP >nul
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Вставлять код никуда не нужно, программа возьмёт его из буфера обмена. Будет создан лог-файл ([B]Fixlog.txt[/B]), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Прикрепил
Что за программа в папке C:\Users\Panasonic\Desktop\Idecoder - в курсе? Файл[CODE]C:\Users\Panasonic\Desktop\Idecoder\1641549471122135\Decoder.exe [/CODE] - явный бэкдор: [url]https://virusscan.jotti.org/filescanjob/0kvmy8t45p[/url]
Проверьте этот файл ещё на [url]https://www.virustotal.com[/url] и дайте ссылку на результат.
Ну и [URL="https://www.virustotal.com/gui/file/f46eeada1dbca94211c85bfe71510c2e9bf39ae0176c02573e922f65766a1914/detection"]троян[/URL], маскирующийся под драйвера Synaptics почистим скриптом. Описание его у Касперского: [URL="https://threats.kaspersky.com/ru/threat/Trojan.Win32.XRed.mg/"]Trojan.Win32.XRed.mg[/URL]
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
(explorer.exe ->) (Synaptics) [File not signed] C:\ProgramData\Synaptics\Synaptics.exe
CloseProcesses:
HKU\S-1-5-21-3128231633-142196264-472748635-1000\...\Run: [Synaptics Pointing Device Driver] => C:\ProgramData\Synaptics\Synaptics.exe [771584 2025-07-08] (Synaptics) [File not signed] <==== ATTENTION
2025-07-09 06:53 - 2022-05-15 11:31 - 000000000 ____D C:\Users\Panasonic\AppData\Local\Lavasoft
HKU\S-1-5-21-3128231633-142196264-472748635-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (No File) <==== ATTENTION
2025-07-08 19:42 - 2025-02-22 08:42 - 000000000 __SHD C:\ProgramData\Synaptics
CreateRestorePoint:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Будет создан лог-файл ([B]Fixlog.txt[/B]), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Эта программа нужна иногда мне для работыб она позволяет считывать пин коды с компьютеров двигателя автомобилей, для установки их в другие авто. Может поэтому считается вредоносной.
[url]https://www.virustotal.com/gui/file/621960a42cd447b9f76ca9da44c10e4a15e2a46166834bc622ceedb184b63eb5[/url]
Остальное сделал.
А запускаете именно этот файл, из подпапки 1641549471122135, или что-то из папки Idecoder на рабочем столе? Потому что этот конкретный файл - троян без вариантов. Переместите его из этой папки и пролверьте работоспособность программы.
Сделайте проверку с помощью [URL="https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool"]KVRT[/URL], пока ничего не лечите и не удаляйте. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.
[QUOTE=Vvvyg;1535194]А запускаете именно этот файл[/QUOTE]
Раньше запускал его, давно программой не пользовался, только что проверил, не работает. Говорит имя файла было поменяно. Ссылка на файл который работает.
[url]https://www.virustotal.com/gui/file/6f4064aa8bae68291cf631a01c7c4fd46d11ce3bc0952f37e6b8a655b3a49887[/url]
[QUOTE=Filviktor;1535196]Ссылка на файл который работает.
[url]https://www.virustotal.com/gui/file/6f4064aa8bae68291cf631a01c7c4fd46d11ce3bc0952f37e6b8a655b3a49887[/url][/QUOTE]
Этот файл менее стрёмно выглядит. А вот И C:\Ross-Tech\VCDS\VCDSLoader X2.exe такой же, видимо, троян/бэкдор, как и C:\Users\Panasonic\Desktop\Idecoder\1641549471122135\Decoder.exe
Проверьте его для верности на virustotal.
[url]https://www.virustotal.com/gui/file/40b68486939996dfabeb0f49001526f2a163a887f40dc9dff60127fc6ff712a8[/url]
Да выглядит плохо, я могу с ними попрощаться, VCDS перестал работать тоже.
Да, то же самое. В детектах присутствует RAT, Backdoor, т. е. компьютер мог быть под удалённым управлением, когда троян работал, как служба, до выполнения скрипта в FRST. ПО двойного назначения, так сказать.