Что-то странное...

**EgorikN** · 26.10.2022, 13:01

Недавно пиратил (и допиратился), поймал вирус (или несколько сразу?), "палящийся" (и браузер закрывает, и со страниц антивирусов перекидывает, и диспетчер через определенное время бездействия закрывает итд), скачал таки антивирусник (несколько), и лечащими утилитами прогнал. И, в завершение восстановил систему к начальной версии (ибо восстановление с точки стало недоступно, да и файл бекапа тоже походу вирус подтер)(полную переустановку с форматированием диска не применяю, ибо много личных файлов, но, если другого выхода не останется....(). Все функции вернулись, блокировки снялись, вроде бы все ОК.
Но тут обратил внимание на странные службы (вроде системные, но набор букв, еще и меняющийся каждый раз после перезагрузки системы, настораживает). Плюсом в реестре появились (как папки в реестре называются?

) с таким же набором букв. Их стирание не помогает, после перезагрузки они вновь появляются (находятся рядом с такими же системными). Вроде из анамнеза все. Что за хрень я поймал и есть ли какой-то способ ее устранить без потери личных файлов?
PS: фото из реестра и диспетчера добавил

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.10.2022, 13:09

Уважаемый(ая) EgorikN, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 27.10.2022, 09:03

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Папа\Desktop\Yandex.lnk"  -> ["C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe"]
>>>  "C:\Users\Папа\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk"   -> ["C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe"]
>>>  "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo App Explorer.lnk"   -> ["C:\Users\user\AppData\Local\Host App Service\Engine\HostAppService.exe"  =>> /OPEN"defd46ddcae7ce35ae9673132f9cf2200f2f1563"]
>>>  "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Tombstones\McAfee LiveSafe.lnk"   -> ["C:\Program Files\mcafee.com\agent\mcagent.exe"  =>> /desktopicon /platui]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"           -> ["C:\Users\Default\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>>  "C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zoom\Zoom.lnk"   -> ["C:\Users\Папа\AppData\Roaming\Zoom\bin\Zoom.exe"]
>>>  "C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zoom\Uninstall Zoom.lnk"   -> ["C:\Users\Папа\AppData\Roaming\Zoom\uninstall\Installer.exe"  =>> /uninstall]
>>>  "C:\Users\Папа\Desktop\Zoom.lnk"    -> ["C:\Users\Папа\AppData\Roaming\Zoom\bin\Zoom.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberLink Power2Go 8\CyberLink Power2Go.lnk"        -> ["C:\Program Files (x86)\Lenovo\Power2Go\Power2Go8.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberLink Power2Go 8\Desktop Burning Gadget.lnk"    -> ["C:\Program Files (x86)\Lenovo\Power2Go\Power2GoExpress8.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberLink Power2Go 8\ISO Viewer.lnk"      -> ["C:\Program Files (x86)\Lenovo\Power2Go\IsoViewer8.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberLink Power2Go 8\Virtual Drive.lnk"   -> ["C:\Program Files (x86)\Lenovo\Power2Go\VirtualDrive.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lenovo\Lenovo Photo Master.lnk"           -> ["C:\Program Files (x86)\Lenovo\Lenovo Photo Master\PhotoMaster.exe"]
>>>  "C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"      -> ["C:\Users\defaultuser0\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>>  "C:\Users\Папа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"    -> ["C:\Users\Папа\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Task: (damaged) C:\WINDOWS\System32\Tasks\Lenovo (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CDFC8C3-7F28-4187-81A6-32023099C6C1} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0CDFC8C3-7F28-4187-81A6-32023099C6C1} - \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{15E8268D-E33F-45E2-8570-72B03D10E669} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{15E8268D-E33F-45E2-8570-72B03D10E669} - \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2708129E-7DA4-4646-A257-7F2432A0537F} - \Microsoft\Windows\UpdateOrchestrator\Maintenance Install (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{36855D79-841D-4953-8DFA-C8A14A3072B8} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker_ReadyToReboot (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3DE689EC-E3C6-4A04-8AAE-777987544FF0} - \Nvbackend_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{400BBEEF-A0FB-42DE-894F-162D678CFB09} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{400BBEEF-A0FB-42DE-894F-162D678CFB09} - \Microsoft\Windows\Windows Defender\Windows Defender Cleanup (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41A29C97-4F8C-4FB3-8B9B-8E6FBE97C401} - \Lenovo\ImController\TimeBasedEvents\afe47be9-8740-41cb-af57-fe827d3eecd8 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4520E8A9-AF06-4122-859B-E4B655B29B36} - \Microsoft\Windows\AppID\SmartScreenSpecific (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5202348E-EC79-426F-92CE-0D4F411E99AE} - \Microsoft\Office\Office Automatic Updates (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{525973A9-EC2F-4079-8A59-5F95851432D8} - \Microsoft\Office\Office ClickToRun Service Monitor (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{635A185A-88AD-4B41-9344-B07C284A75E9} - \Microsoft\Windows\WindowsUpdate\sih (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{72FD6F65-E155-428E-888F-3DF9EF4F56DC} - \CyberLink\Photo Master Gadget startup (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{93BCA715-4DF2-4C17-9600-BB648A67FB88} - \Microsoft\Windows\ErrorDetails\EnableErrorDetailsUpdate (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{959C3F70-533D-4204-A53A-73CF10E114F2} - \Microsoft\Windows\UpdateOrchestrator\Policy Install (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B1DC7307-25A9-4450-9CA4-BD95E5C7EA86} - \Lenovo\ImController\Lenovo iM Controller Monitor (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B5909027-2968-4E9D-B2D9-888ED10AD77B} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_TVSUUpdateTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C9ACBFD2-20AA-4A3F-BE1A-A3D5279BB1BB} - \Microsoft\Windows\Plug and Play\Plug and Play Cleanup (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CD19BC8A-E9FE-49ED-92A5-0E1194F69F00} - \Microsoft\XblGameSave\XblGameSaveTaskLogon (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D35DCDFD-E7A5-490A-BE93-1ADEAA6296ED} - \Lenovo\ImController\TimeBasedEvents\79c67a92-f59b-4a2f-ae1c-7d8af117d895 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D394BE25-2E16-45D4-AAB2-3E8861A09351} - \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D3DB1B37-BE90-41F5-B199-D7F6D7DE3DF1} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_TVSUUpdateTask_Weekly (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D654249A-38B2-4570-B0F7-5D37CD69E27A} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E54934E3-D88D-40AB-A06A-B92CC1DFE755} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker_Display (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EEA11AE2-2E36-401A-85A1-FBB532C73088} - \Microsoft\Windows\ErrorDetails\ErrorDetailsUpdate (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F200B6AE-7AD3-4DF7-B3EB-F1356CA5D011} - \Microsoft\Windows\UpdateOrchestrator\Reboot (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F3D4BB92-F97B-4D84-BEB5-B33E9E9139F5} - \Lenovo\ImController\TimeBasedEvents\df311706-3b37-4fea-a6d6-0498b345b2ad (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F46C0310-C111-4272-A949-A891EB3D0E9B} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F46C0310-C111-4272-A949-A891EB3D0E9B} - \Microsoft\Windows\Windows Defender\Windows Defender Verification (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F965F8CC-480B-45D9-A172-1C076DA1E044} - \Lenovo\ImController\TimeBasedEvents\eca810bc-d5fe-40d4-8001-ab396ff82224 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FB082C29-E39A-498A-9B3E-77E6BE5C4EC1} - \Lenovo\ImController\TimeBasedEvents\5df61399-b8bf-4c55-b9d8-057a8e3cc40c (no xml)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks_Migrated: (telemetry) \Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask - {E7ED314F-2816-4C26-AEB5-54A34D02404C} - (no file)
O22 - Tasks_Migrated: \CyberLink\Photo Master Gadget startup - C:\Program Files (x86)\Lenovo\Lenovo Photo Master\PhotoMasterWorker.exe backgroundagent (file missing)
O22 - Tasks_Migrated: \McAfee\McAfee Auto Maintenance Task Agent - {ABCECA3B-EA5A-496B-A021-5C6BAB365E5C} - (no file)
O22 - Tasks_Migrated: \McAfee\McAfee Idle Detection Task - {ABCDCA3B-DE6B-5A7C-B132-6D7CBA63E5C5} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\SettingSync\BackupTask - {60A4C78C-E2B8-4E6E-876F-DA203B02C05E} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsUpdate\Automatic App Update - {A6BA00FE-40E8-477C-B713-C64A14F18ADB} - (no file)
O22 - Tasks_Migrated: Обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe --background-update (file missing)
O22 - Tasks_Migrated: Системное обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\Application\51.0.2704.2515\service_update.exe --run-as-launcher (file missing)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**EgorikN** · 27.10.2022, 10:03

Готово

**Vvvyg** · 27.10.2022, 11:43

У вас в системе авcтралийский DNS сервер прописан - 150.207.1.2 - и выдаётся он роутером. Так и задумано?

**EgorikN** · 27.10.2022, 17:23

Нет. С телефона раздаю интернет.
Может malwerbyte меняет?

**Vvvyg** · 27.10.2022, 17:39

Вряд ли.

Ничего опасного. В Windows 10/11 много странных служб с цифирьками в конце названия, они легитимные, не надо с ними бороться.
Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
Tcpip\..\Interfaces\{8bf132d7-e52f-4cb9-84c0-9fc16fbf2e75}: [DhcpNameServer] 150.207.1.2
S2 CCSDK; C:\Program Files (x86)\Lenovo\CCSDK\CCSDK.exe [X]
S2 ImControllerService; %SystemRoot%\Lenovo\ImController\Service\Lenovo.Modern.ImController.exe [X]
S4 McProxy; "C:\Program Files\Common Files\McAfee\platform\McSvcHost\McSvHost.exe" /McCoreSvc [X]
2019-11-10 18:43 C:\DrWeb Quarantine
2022-10-23 15:48 C:\KVRT2020_Data
Unlock: C:\FRST
StartBatch:
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**EgorikN** · 28.10.2022, 10:28

В воскресенье ближе к вечеру сделаю. Нужно срочно по делам уехать

**Vvvyg** · 28.10.2022, 12:42

Ок, жду.
И, похоже, Вы через Adwcleaner вынесли частично утилиты от Lenovo, не нужно так делать, в разделе PUP лучше не трогать ничего.

**EgorikN** · 30.10.2022, 20:34

Сделал
А данные утилиты особо ни на что не влияют же, верно?

**Vvvyg** · 30.10.2022, 20:47

Да, но удалять их надо обычным образом.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.