Подозрение на вредоносное ПО

**K_a_S** · 28.02.2025, 01:46

При запуске диспетчера задач ноут провисает(3-5с) а также внезапно прилетел запрос на подключение на anydesk, хотя авто-запуск данной програмы отключен, и запускалась сама програма более года назад. Время от времени провисает ноут очень сильно.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.02.2025, 01:47

Уважаемый(ая) K_a_S, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 28.02.2025, 06:37

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\839a0129131e3c7f\7.1 Surround Sound.lnk"           -> ["C:\Program Files\Razer\RzAppEngine\rzappengine.exe"  =>> --application-host=apps.razer.com --profile-directory=Default hxxps://apps.razer.com/app-launcher/RzUiQiNlDnNMZ1NZ-HFhVAUiRz/]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Easy Diffusion\Easy Diffusion (2).lnk"         -> ["C:\All\Start Stable Diffusion UI.cmd"]
>>>  "C:\Users\Acer\AppData\Local\Autodesk\3dsMax\2020 - 64bit\ENU\temp\PruneScene\uac.lnk"          -> ["C:\temp\uac.bat"]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Easy Diffusion\Easy Diffusion.lnk"   -> ["C:\All\Start Stable Diffusion UI.cmd"]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\uTorrent Web.lnk"          -> ["C:\Users\Acer\AppData\Roaming\uTorrent Web\utweb.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk"  -> ["C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe"  =>> --startmenu]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\plumbing-proteins\polo-printer.lnk"       -> ["C:\ProgramData\polar-polyphonic\polo-printer"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\plumbing-proteins\Uninstall polo-printer.lnk"       -> ["C:\ProgramData\polar-polyphonic\unins000.exe"]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\polo-printer.lnk"       -> ["C:\ProgramData\polar-polyphonic\bin.exe"]
>>>  "C:\Users\defaultuser100000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"       -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\Users\defaultuser100000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"       -> ["C:\WINDOWS\system32\narrator.exe"]
>>>  "C:\Users\defaultuser100000\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk"         -> ["C:\WINDOWS\system32\WFS.exe"  =>> /SendTo]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Legends Of Idleon - Mod Menu.lnk"           -> ["C:\Program Files (x86)\triple7inc\Legends of Idleon\Legends Of Idleon - Mod Menu.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Legends of Idleon - Mod Menu\Legends Of Idleon - Mod Menu.lnk"          -> ["C:\Program Files (x86)\triple7inc\Legends of Idleon\Legends Of Idleon - Mod Menu.exe"]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Legends Of Idleon - Mod Menu.lnk"   -> ["C:\Program Files (x86)\triple7inc\Legends of Idleon\Legends Of Idleon - Mod Menu.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Legends of Idleon - Mod Menu\Uninstall.lnk"         -> ["C:\Program Files (x86)\triple7inc\Legends of Idleon\Uninstall.exe"]
>>>  "C:\Users\defaultuser100000\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"         -> ["C:\WINDOWS\system32\mblctr.exe"]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Windows\SendTo\Получатель факса.lnk"         -> ["C:\WINDOWS\system32\wfs.exe"  =>> /SendTo]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WibuKey\Server Monitor.lnk"     -> ["C:\Program Files (x86)\WIBUKEY\Bin\WkSvMon.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WibuKey\Network Server.lnk"     -> ["C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Network Server.lnk"     -> ["C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WibuKey\WibuKey Help (English).lnk"       -> ["C:\Program Files (x86)\WIBUKEY\Help\WKUSEUS.CHM"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WibuKey\WibuKey Help (French).lnk"        -> ["C:\Program Files (x86)\WIBUKEY\Help\WKUSEFR.CHM"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WibuKey\WibuKey Help (German).lnk"        -> ["C:\Program Files (x86)\WIBUKEY\Help\WKUSEDE.CHM"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sublime Text.lnk"     -> ["C:\All\idk\Sublime Text\sublime_text.exe"]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"          -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"          -> ["C:\WINDOWS\system32\narrator.exe"]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk"  -> ["C:\WINDOWS\system32\WFS.exe"  =>> /SendTo]
>>>  "C:\Users\Acer\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"  -> ["C:\WINDOWS\system32\mblctr.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoCAD 2021 — Русский (Russian)\Утилита перемещения лицензий — AutoCAD 2021.lnk"           -> ["C:\Program Files (x86)\Common Files\Autodesk Shared\Adlm\R20\LTU.exe"  =>> 001M1 2021.0.0.F -d SA -l ru-RU]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Medibang\MediBang Paint Pro\MediBang Paint Pro.lnk"           -> ["C:\All\MediBang Paint Pro\MediBangPaintPro.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GribLand.lnk"         -> ["C:\All\idk\GribLand\Bootstrap.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltData for Android.lnk"        -> ["C:\Program Files (x86)\Tenorshare\UltData - Android Data Recovery\NetFrameCheck.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltData for Android\Деинсталлировать UltData for Android.lnk"           -> ["C:\Program Files (x86)\Tenorshare\UltData - Android Data Recovery\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java\Configure Java.lnk"        -> ["C:\Program Files (x86)\Java\jre1.8.0_331\bin\javacpl.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java\Check For Updates.lnk"     -> ["C:\Program Files (x86)\Java\jre1.8.0_331\bin\javacpl.exe"  =>> -tab update]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java\About Java.lnk"  -> ["C:\Program Files (x86)\Java\jre1.8.0_331\bin\javacpl.exe"  =>> -tab about]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tenorshare 4uKey.lnk"           -> ["C:\Program Files (x86)\Tenorshare\Tenorshare 4uKey\Start.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tenorshare 4uKey\Uninstall Tenorshare 4uKey.lnk"    -> ["C:\Program Files (x86)\Tenorshare\Tenorshare 4uKey\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\NVIDIA RTX Voice.lnk"  -> ["C:\Program Files\NVIDIA Corporation\NVIDIA RTX Voice\NVIDIA RTX Voice.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dead Cells [GOG.com]\Dead Cells (OpenGL).lnk"       -> ["C:\GOG Games\Dead Cells\deadcells_gl.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dead Cells [GOG.com]\Удалить Dead Cells.lnk"        -> ["C:\GOG Games\Dead Cells\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dead Cells [GOG.com]\Dead Cells.lnk"      -> ["C:\GOG Games\Dead Cells\deadcells.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\Snipping Tool.lnk"  -> ["C:\WINDOWS\system32\SnippingTool.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlashIntegro\VSDC Free Video Editor\Help\Справка VSDC Free Video Editor.lnk"      -> ["C:\Program Files\FlashIntegro\VideoEditor\vsdc_manual.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlashIntegro\VSDC Free Video Editor\Help\Лицензионное соглашение.lnk"   -> ["C:\Program Files\FlashIntegro\VideoEditor\License Agreement.rtf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlashIntegro\VSDC Free Video Editor\Help\Файл Readme.lnk"     -> ["C:\Program Files\FlashIntegro\VideoEditor\Readme.rtf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlashIntegro\VSDC Free Video Editor\VSDC Free Video Editor.lnk"         -> ["C:\Program Files\FlashIntegro\VideoEditor\VideoEditor.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlashIntegro\VSDC Free Video Editor\VSDC Free Screen Recorder.lnk"      -> ["C:\Program Files\FlashIntegro\VideoEditor\Tools\ScreenRecorder.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlashIntegro\VSDC Free Video Editor\VSDC Free Video Capture.lnk"        -> ["C:\Program Files\FlashIntegro\VideoEditor\Tools\VideoCapture.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlashIntegro\VSDC Free Video Editor\Активация продукта.lnk"   -> ["C:\Program Files\FlashIntegro\VideoEditor\Activation.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlashIntegro\VSDC Free Video Editor\Обновление программы.lnk"           -> ["C:\Program Files\FlashIntegro\VideoEditor\Updater.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:O4 - HKLM\..\StartupApproved\Run: [RZSurroundHelper] = C:\WINDOWS\system32\RZSurroundHelper.exe (file missing) (2022/10/12)
O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: hxxp://hola.org
O15 - Trusted Zone: hxxp://webcompanion.com
O22 - Tasks: Opera scheduled assistant Autoupdate 1633613981 - C:\Users\Acer\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Acer\AppData\Local\Programs\Opera\assistant" $(Arg0) (file missing)
O22 - Tasks: Opera scheduled Autoupdate 1633613979 - C:\Users\Acer\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Tasks: polo-printer - C:\ProgramData\polar-polyphonic\bin.exe /H (file missing)
O22 - Tasks: RTXVoice_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NVIDIA RTX Voice\NVIDIA RTX Voice.exe -minimized (file missing)

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-PowerShell/Operational" "Windows PowerShell.evtx"', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Doctor Web" "Doctor Web.evtx"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

**K_a_S** · 28.02.2025, 07:16

Доброе утро, спасибо за скорый ответ, вот все отчёты
ссылка на архив Events.7z:
https://drive.google.com/file/d/1K0_...ew?usp=sharing

**Vvvyg** · 28.02.2025, 22:43

Служба Anydesk Remote Access была в автоматическом запуске. в журнале системы запись:

2025-01-24 22:05:05
ImagePath: '"C:\Program Files (x86)\AnyDesk\AnyDesk.exe" --service
ServiceName: AnyDesk Service
ServiceType: служба режима пользователя
AccountName: LocalSystem
StartType: Автоматически

В остальном больше похоже на аппаратные проблемы.

Сделайте проверку и исправление ошибок файловой системы: в меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

В командной строке введите chkdsk C: /F и нажмите Enter. Нажмите Y и затем перезагрузите систему. При загрузке ошибки файловой системы будут исправлены (если найдутся).

Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

**K_a_S** · 28.02.2025, 23:31

Спасибо, что развеяли мои опасения. После того, как всплыл AnyDesk, я проверил диспетчер задач, чтобы убедиться, что он не в автозапуске. Он был выключен, видимо, отображалось некорректно. Примите мою искреннюю благодарность. Вы - лучшие люди в мире!

Подозрение на вредоносное ПО (заявка № 228906)

Опции темы