Кажется, вирус

[I7y3bIpb]

Добрый вечер! После установки очередного торрента комп стал сильно тормозить. Защитник Windows ведёт себя странно, есть ощущение, что он сломался. Помогите решить проблему, пожалуйста.

[Info_bot]

Уважаемый(ая) I7y3bIpb, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKCU\..\Run: [OneDrive] = ;"C:\Users\Anton\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background (file missing)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = AVbr.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: http://webcompanion.com

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindowsRar\WindowsRar.lnk"      -> ["D:\НАСТИНА РАБОТА\WindowsRar\windowsrar.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindowsRar\Деинсталлировать WindowsRar.lnk"         -> ["D:\НАСТИНА РАБОТА\WindowsRar\unins000.exe"]
>>>  "C:\Users\Public\Desktop\WindowsRar.lnk"      -> ["D:\НАСТИНА РАБОТА\WindowsRar\windowsrar.exe"]
>>>  "C:\Users\Anton\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk"          -> ["D:\Games\Steam\steam.exe"]
>>>  "C:\Users\Anton\Documents\Euro Truck Simulator 2\readme.rtf.lnk"  -> ["D:\Games\Steam\steamapps\common\Euro Truck Simulator 2\readme.rtf"]
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindowsRar\Сайт WindowsRar в Интернете.url"  ->  hxxp://windowsrar.ru/

Отчёт о работе прикрепите.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFile('C:\ProgramData\windowstask\amd.exe', '');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe', '');
 DeleteFile('C:\ProgramData\windowstask\xmrig-cuda.dll', '');
 DeleteFile('C:\Users\Anton\appdata\roaming\drpsu\alice\cloud.exe', '');
 DeleteService('PnkBstrA');
 DeleteFileMask(';c:\firefox', '*', false);
 DeleteFileMask('c:\firefox', '*', false);
 DeleteFileMask('c:\program files (x86)\lavasoft', '*', true);
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteFileMask('c:\users\anton\appdata\roaming\drpsu', '*', true);
 DeleteDirectory('c:\firefox');
 DeleteDirectory('c:\program files (x86)\lavasoft');
 DeleteDirectory('c:\programdata\windowstask');
 DeleteDirectory('c:\users\anton\appdata\roaming\drpsu');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Firefox Browser', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Firefox Browser', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', '64');
 DeleteSchedulerTask('Opera scheduled assistant Autoupdate 1630942422');
 DeleteSchedulerTask('Opera scheduled Autoupdate 1615193926');
 DeleteSchedulerTask('Opera scheduled Autoupdate 1630942416');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[I7y3bIpb]

Спасибо. Выполнил ваши рекомендации, отчеты прилагаю

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CHR HKU\S-1-5-21-4244145710-2386935587-318492366-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [djgdgdcfmdkficbifbnaacknblbkhhoc]
2021-12-22 22:56 - 2021-12-22 22:56 - 000000000 ___HD C:\$AV_AVG
2021-12-22 22:54 - 2021-12-22 23:36 - 000000000 ____D C:\Users\Anton\AppData\Roaming\AVG
2021-12-22 22:48 - 2021-12-22 22:48 - 020784881 ____C C:\unp309307964124779312i-manual.mdmp
2021-12-22 22:48 - 2021-12-22 22:48 - 020784123 ____C C:\unp309307964120091237i-manual.mdmp
2021-12-22 22:48 - 2021-12-22 22:48 - 020783883 ____C C:\unp309307964131029307i-manual.mdmp
2021-12-22 22:48 - 2021-12-22 22:48 - 020783079 ____C C:\unp309307964126810560i-manual.mdmp
2021-12-22 22:48 - 2021-12-22 22:48 - 020782014 ____C C:\unp309307964128997459i-manual.mdmp
2021-12-22 22:08 - 2021-12-22 22:08 - 020993375 ____C C:\unp309307911181080453i-manual.mdmp
2021-12-22 22:08 - 2021-12-22 22:08 - 020990969 ____C C:\unp309307911178580375i-manual.mdmp
2021-12-22 22:08 - 2021-12-22 22:08 - 020990723 ____C C:\unp309307911176080366i-manual.mdmp
2021-12-22 22:08 - 2021-12-22 22:08 - 020990461 ____C C:\unp309307911173580365i-manual.mdmp
2021-12-22 22:08 - 2021-12-22 22:08 - 020989791 ____C C:\unp309307911167642880i-manual.mdmp
2021-12-22 13:38 - 2021-12-22 23:43 - 000000000 ____D C:\ProgramData\AVG
2021-12-22 23:33 - 2021-05-06 14:50 - 000000000 __SHD C:\ProgramData\RealtekHD
2021-12-19 14:09 - 2021-05-06 14:50 - 000000000 __SHD C:\ProgramData\Setup
2021-12-19 14:09 - 2021-05-06 14:50 - 000000000 __SHD C:\ProgramData\install
2021-05-06 14:50 C:\AdwCleaner
2021-05-06 14:50 C:\KVRT_Data
2021-05-06 14:50 C:\Program Files\AVAST Software
2021-05-06 14:50 C:\Program Files\AVG
2021-05-06 14:50 C:\Program Files\ByteFence
2021-05-06 14:50 C:\Program Files\Cezurity
2021-05-06 14:50 C:\Program Files\COMODO
2021-05-06 14:50 C:\Program Files\Enigma Software Group
2021-05-06 14:50 C:\Program Files\ESET
2021-05-06 14:50 C:\Program Files\Kaspersky Lab
2021-05-06 14:50 C:\Program Files\Malwarebytes
2021-05-06 14:50 C:\Program Files\SpyHunter
2021-03-08 12:01 C:\Program Files (x86)\360
2021-05-06 14:50 C:\Program Files (x86)\AVAST Software
2021-05-06 14:50 C:\Program Files (x86)\AVG
2021-05-06 14:50 C:\Program Files (x86)\Cezurity
2021-05-06 14:50 C:\Program Files (x86)\GRIZZLY Antivirus
2021-05-06 14:50 C:\Program Files (x86)\Microsoft JDX
2021-05-06 14:50 C:\Program Files (x86)\Panda Security
2021-05-06 14:50 C:\Program Files (x86)\SpyHunter
2021-05-06 14:50 C:\Windows\speechstracing
2021-05-06 14:50 C:\Program Files\Common Files\McAfee
2021-05-06 14:50 C:\ProgramData\360safe
2021-05-06 14:50 C:\ProgramData\AVAST Software
2021-05-06 14:50 C:\ProgramData\Avira
2021-05-06 14:50 C:\ProgramData\Doctor Web
2021-05-06 14:50 C:\ProgramData\ESET
2021-05-06 14:50 C:\ProgramData\grizzly
2021-05-06 14:50 C:\ProgramData\Indus
2021-05-06 14:50 C:\ProgramData\Kaspersky Lab
2021-05-06 14:50 C:\ProgramData\Kaspersky Lab Setup Files
2021-05-06 14:50 C:\ProgramData\Malwarebytes
2021-05-06 14:50 C:\ProgramData\MB3Install
2021-05-06 14:50 C:\ProgramData\McAfee
2021-05-06 14:50 C:\ProgramData\Norton
FirewallRules: [{81D55B06-008C-4E66-A10E-D4C653CBBA84}] => (Allow) D:\Games\Steam\Steam.exe => Нет файла
FirewallRules: [{8868D644-E46B-4095-A10F-3D5C284D49C7}] => (Allow) D:\Games\Steam\Steam.exe => Нет файла
FirewallRules: [{DB5C3C7B-1F45-4924-8504-E18B50CA989E}] => (Allow) D:\Games\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{3E3A1E87-4C24-4E4C-B1DB-9267F340EC7C}] => (Allow) D:\Games\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{3CAD6347-C23C-4F4B-AA0F-11074615A6D5}D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{69807BA2-16F2-4CFF-AA67-9BBB0E4F9399}D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{05B48991-A691-4DBE-AE6E-8B7B1ED9D4C0}] => (Allow) C:\Users\Anton\AppData\Local\Temp\DriverPack-20210308114636\tools\aria2c.exe => Нет файла
FirewallRules: [{7EFE8A60-FC40-4A2D-827D-23E347ADCDB8}] => (Allow) C:\Users\Anton\AppData\Local\Programs\Opera\64.0.3417.73\opera.exe => Нет файла
FirewallRules: [{B3CAE5B4-D408-4CE3-B48F-9905B2FF0940}] => (Allow) C:\Users\Anton\AppData\Local\Programs\Opera\74.0.3911.160\opera.exe => Нет файла
FirewallRules: [{2F8A3953-C0F4-40DC-83D6-12677AA8DCB4}] => (Allow) C:\Users\Anton\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{9A408D92-3200-408F-AE86-E267496FA4A9}] => (Allow) C:\Users\Anton\Ubisoft Game Launcher\games\Silent Hunter 5\sh5.exe => Нет файла
FirewallRules: [{3AEB9F27-07C2-496C-B9DB-CFB30428818E}] => (Allow) C:\Users\Anton\Ubisoft Game Launcher\games\Silent Hunter 5\sh5.exe => Нет файла
FirewallRules: [{3FFB04C4-5A6A-47E1-9811-D63648EBC7C4}] => (Allow) D:\Games\Steam\steamapps\common\Hearts of Iron IV\dowser.exe => Нет файла
FirewallRules: [{173F4E91-466C-491D-867C-E05CA5BDF78C}] => (Allow) D:\Games\Steam\steamapps\common\Hearts of Iron IV\dowser.exe => Нет файла
FirewallRules: [TCP Query User{27912630-DA6B-446E-8F2F-B42A0A209100}D:\games\steam\steamapps\common\hearts of iron iv\hoi4.exe] => (Allow) D:\games\steam\steamapps\common\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [UDP Query User{7F93A375-B6A8-436A-9C02-62F29664B4D4}D:\games\steam\steamapps\common\hearts of iron iv\hoi4.exe] => (Allow) D:\games\steam\steamapps\common\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [TCP Query User{F768F7DD-1DBF-409F-96F8-48BAF659A0DC}D:\games\enlisted\launcher.exe] => (Allow) D:\games\enlisted\launcher.exe => Нет файла
FirewallRules: [UDP Query User{A558F31F-3964-4297-BBE2-4E1ECA0DE285}D:\games\enlisted\launcher.exe] => (Allow) D:\games\enlisted\launcher.exe => Нет файла
FirewallRules: [{1084BBE5-00B8-4D40-8447-2E8CC3AD6360}] => (Block) LPort=445
FirewallRules: [{9D588298-7238-49C7-B56B-4AAF4B38AECD}] => (Block) LPort=445
FirewallRules: [{A82AF64F-5D9F-4337-9E5F-6D60DDD3ACCB}] => (Block) LPort=139
FirewallRules: [{C6E57081-4C61-422D-BA75-27FE8F690A0F}] => (Block) LPort=139
FirewallRules: [TCP Query User{E27BA7B9-D482-4BBF-9FCF-14A9F3C55007}D:\games\mechwarrior5editor\engine\binaries\win64\ue4editor.exe] => (Allow) D:\games\mechwarrior5editor\engine\binaries\win64\ue4editor.exe => Нет файла
FirewallRules: [UDP Query User{C1EF7C20-D27D-40FD-B5B8-2D507BFCCFFC}D:\games\mechwarrior5editor\engine\binaries\win64\ue4editor.exe] => (Allow) D:\games\mechwarrior5editor\engine\binaries\win64\ue4editor.exe => Нет файла
FirewallRules: [{0FEC8D13-E136-41BA-858F-A014A04CA885}] => (Allow) D:\Games\Steam\steamapps\common\Mount & Blade II Bannerlord\bin\Win64_Shipping_Client\TaleWorlds.MountAndBlade.Launcher.exe => Нет файла
FirewallRules: [{50AA2450-D31A-4E57-9B9A-4182D8AC4659}] => (Allow) D:\Games\Steam\steamapps\common\Mount & Blade II Bannerlord\bin\Win64_Shipping_Client\TaleWorlds.MountAndBlade.Launcher.exe => Нет файла
FirewallRules: [{8A975F2A-5E16-4A5D-9AE5-9DF02E1191FE}] => (Allow) D:\Games\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{B6E06A68-0757-4770-B49B-63F7DB1E7A3F}] => (Allow) D:\Games\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{181D73AA-5092-437D-AE28-04EC76411525}] => (Allow) D:\Games\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => Нет файла
FirewallRules: [{E7E5CB08-C4AD-4915-9924-B14EEDA2FEF3}] => (Allow) D:\Games\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => Нет файла
FirewallRules: [{A99268CD-668F-49F8-A662-BE6125DE101B}] => (Block) LPort=445
FirewallRules: [{25E0FCFC-5D17-4A16-B891-6A809EB4E3EC}] => (Block) LPort=445
FirewallRules: [{4CAE260E-9815-424C-91BC-5EE1185E0EF1}] => (Block) LPort=139
FirewallRules: [{70168F12-5690-49B9-B066-E1C9FDBF9BFB}] => (Block) LPort=139
FirewallRules: [TCP Query User{532BDAF7-E0D1-4F56-8593-32241A1ECED9}D:\games\ultimate admiral dreadnoughts v1.0.90\build.exe] => (Allow) D:\games\ultimate admiral dreadnoughts v1.0.90\build.exe => Нет файла
FirewallRules: [UDP Query User{976478C7-8601-4FE1-B2AA-A47F89A05F80}D:\games\ultimate admiral dreadnoughts v1.0.90\build.exe] => (Allow) D:\games\ultimate admiral dreadnoughts v1.0.90\build.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0C7F36F7-A61D-49C0-82AE-1524E312B956}}_is1
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

[I7y3bIpb]

Сделал. Спасибо огромное, проблема вроде решена.

[Vvvyg]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.