Подозрение на вирус после запуска трейнера для игры

**Pokery** · 12.06.2023, 09:28

Скачал с интернета трейнер для игры Bioshock Infinite в виде файла bio.cpl, изображение окна трейнера прикрепил.

Screenshot_1.jpg

Все скачанные файлы проверяю онлайн проверкой dr.web, этот файл тоже проверил, всё было без подозрений. По прошествии двух дней, при включении компьютера и перед запуском виндовс, появился текст с просьбой просканировать диск на наличие ошибок, и обратный отсчёт времени, я отказываюсь, т.к. не знаю, проверка это или сам вирус так действует. После запуска системы промелькнуло окно командной строки и тут же скрылось. После дальнейших загрузок это окно не появляется. В автозагрузке появился пункт "Обработчик команд Windows", ведущий на файл cmd в каталоге C:\windows\system32. Я его отключил. Дальше сделал проверку системы и лог прикрепил к этому сообщению.
Забыл добавить, что после появления и скрытия окна командной строки, запустился Microsoft Edge (браузер по умолчанию) и появились две вкладки, загрузки каких то сайтов. Я сразу же закрыл браузер, но в журнале браузера остались две ссылки на эти сайты, если нужно, дам ссылки.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.06.2023, 09:30

Уважаемый(ая) Pokery, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Sandor** · 12.06.2023, 09:49

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 DeleteSchedulerTask('Aleksei');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Aleksei', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Aleksei', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте повторные логи по правилам. (CollectionLog)

**Pokery** · 12.06.2023, 10:17

Bonjour удалил. Перед запуском виндовс всё тот же счётчик: если по-русски, то "Приостановить сканирование дисков?".

Повторные логи приложил.

**Sandor** · 12.06.2023, 10:21

Сообщение от Pokery

после появления и скрытия окна командной строки, запустился Microsoft Edge

Это уже должно прекратиться.

Дополнительно:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**Pokery** · 12.06.2023, 10:52

Это уже должно прекратиться.

Это было только один раз. После того, как я отключил "Обработчик команд Windows" в автозагрузке, это больше не повторялось.

Логи приложил.

Что делать со сканированием дисков перед загрузкой виндовс? Разрешить?

**Sandor** · 12.06.2023, 11:18

Такую проверку мы инициируем следующим скриптом. Она будет запущена при перезагрузке, не прерывайте.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{E13CF870-E7AB-42D1-A99A-A2CFB9A878A0}] => (Allow) LPort=8317
FirewallRules: [{CB277A5B-5B91-43F1-8A50-BF01740305C2}] => (Allow) LPort=8031
FirewallRules: [{41530ED3-E7BC-4BFB-B857-E17490044914}] => (Allow) LPort=8031
FirewallRules: [{08E7253E-FEE8-4419-858C-DE8D3B11ACC6}] => (Allow) LPort=8031
FirewallRules: [{14DCAD45-D4BD-42B2-A4A8-62DB69B75E65}] => (Allow) LPort=8031
FirewallRules: [{4FFACC56-528C-4EB3-83F3-F0DE4BA67659}] => (Allow) LPort=8031
FirewallRules: [{46F624C3-E636-419E-882E-1729D841B866}] => (Allow) LPort=8031
FirewallRules: [{C43AC6AA-79EB-40FA-9D78-16E16CC88633}] => (Allow) LPort=8031
FirewallRules: [{FFD6DBEB-3FED-4AD9-BEC1-BBE944A31BAA}] => (Allow) LPort=8031
FirewallRules: [{62C523F4-228E-48A0-BDF9-3022E2E363C9}] => (Allow) LPort=8031
FirewallRules: [{8CD92BBA-DDF5-40FA-9668-A096818E9020}] => (Allow) LPort=8031
FirewallRules: [{6257721B-0EFB-4D15-BA18-5D3CED548856}] => (Allow) LPort=8031
FirewallRules: [{B6F1633A-A71F-4024-944B-61FA99789EA0}] => (Allow) LPort=8031
FirewallRules: [{BEE88DF5-9C15-4C37-9982-FBCDEC91A483}] => (Allow) LPort=8031
FirewallRules: [{BE77446E-70CA-40BE-A815-E53675C750ED}] => (Allow) LPort=8031
FirewallRules: [{CEFDF798-33CE-46E2-B6C1-B0CBBE26C4D2}] => (Allow) LPort=8031
FirewallRules: [{730C2880-63EB-4CB7-B12D-D80B4E69143B}] => (Allow) LPort=8031
FirewallRules: [{7F64DF14-FB7D-4263-B7C2-396094DC4FBE}] => (Allow) LPort=8031
FirewallRules: [{738D9B93-30A2-4433-A55C-AF92D3EDB29E}] => (Allow) LPort=8031
FirewallRules: [{FAE9BE1A-2764-4CC4-947D-EA0BAB34BE1D}] => (Allow) LPort=8031
FirewallRules: [{1CAEF8F3-6930-4881-B552-7E28E0DF8BA6}] => (Allow) LPort=8031
FirewallRules: [{B56B5B6B-54F4-4AA1-B8FB-9F95AF18634A}] => (Allow) LPort=8031
FirewallRules: [{FF31B0AA-A80B-42D8-9A9C-39A672D58788}] => (Allow) LPort=8031
FirewallRules: [{3281BD64-8700-4047-965B-92226032EB19}] => (Allow) LPort=8031
FirewallRules: [{34A38053-DC04-467D-89F6-4BFA865680DE}] => (Allow) LPort=8031
FirewallRules: [{135CD6EF-FFBB-4552-AC70-BFF1576594E3}] => (Allow) LPort=8031
FirewallRules: [{30BE6227-7D39-4519-8C12-A61FF6B0A49F}] => (Allow) LPort=8031
FirewallRules: [{17E07A69-F3EB-4832-9639-1340C2605693}] => (Allow) LPort=8031
FirewallRules: [{624DA757-C1E7-448D-8B82-7F409238E6DD}] => (Allow) LPort=8031
FirewallRules: [{90B29790-B070-46AA-935F-6FB8037A5CE7}] => (Allow) LPort=8031
FirewallRules: [{76071A05-56A5-4BD1-AA11-9C1FEB30A552}] => (Allow) LPort=8031
FirewallRules: [{AB51C40B-72C4-4726-BFE0-32D04427E23D}] => (Allow) LPort=8031
FirewallRules: [{503F265C-860B-41E6-90F0-AC3206BF0886}] => (Allow) LPort=8031
FirewallRules: [{CFB0F35B-27B3-4382-9B61-A8C3157A3654}] => (Allow) LPort=8031
FirewallRules: [{DB54E440-A385-4C8D-BBA6-C7935F30FC21}] => (Allow) LPort=8031
FirewallRules: [{9E12CFD8-7A56-4700-B65B-FB4B329351C0}] => (Allow) LPort=8031
FirewallRules: [{BD5FCF3A-1920-4039-8676-45C62571069D}] => (Allow) LPort=8031
FirewallRules: [{BBB87931-84E9-40BC-9D49-7F2B698B1C74}] => (Allow) LPort=8031
FirewallRules: [{8C766211-1629-435B-8620-6F117955DC10}] => (Allow) LPort=8031
FirewallRules: [{729647AE-57F1-4B1F-8112-FDA522BE5256}] => (Allow) LPort=8031
FirewallRules: [{0D334A52-4AB6-41A5-B6A2-C7BD84BA078E}] => (Allow) LPort=8031
FirewallRules: [{963EAE79-7AB5-4620-979F-65DE227DA19C}] => (Allow) LPort=8031
FirewallRules: [{32A4F49B-A464-4F91-8B00-9E7626093A47}] => (Allow) LPort=8031
FirewallRules: [{1ED5EEAF-E62F-4BBA-9C7D-EAB16E8CD9D6}] => (Allow) LPort=8031
FirewallRules: [{8AA43C59-295B-4E43-B38A-8865BAC28130}] => (Allow) LPort=8031
FirewallRules: [{20820F1A-F4B8-4819-9F18-41D61B8C6B85}] => (Allow) LPort=8031
FirewallRules: [{BAD02AAA-B7A5-4BA3-9653-F105DD690860}] => (Allow) LPort=8031
FirewallRules: [{ABCB2B32-DAE6-4238-B801-A4E6F809E144}] => (Allow) LPort=8031
FirewallRules: [{B2EEF73F-5338-4C3D-B657-A6E80F506399}] => (Allow) LPort=8031
FirewallRules: [{E11DC325-3624-4762-B0D1-27A4D2430854}] => (Allow) LPort=8031
FirewallRules: [{1D2401EB-ED09-459A-BC58-433CCF9116B5}] => (Allow) LPort=8031
FirewallRules: [{2CDCFF3A-4061-4723-ADF9-46118AF5E850}] => (Allow) LPort=8031
FirewallRules: [{0F8B551A-C737-4DD5-BF9C-2762D4797022}] => (Allow) LPort=8031
FirewallRules: [{954208AF-107B-4A54-A6D1-CCF86C33497A}] => (Allow) LPort=8031
FirewallRules: [{1C5A28C7-A50C-40AA-80D1-0D930D515D60}] => (Allow) LPort=8031
FirewallRules: [{0CB908F9-4FE7-42D6-9CC6-55C55620C0C7}] => (Allow) LPort=8031
FirewallRules: [{2217ECE3-D2B2-4B39-AABE-A65FA81D5D78}] => (Allow) LPort=8031
FirewallRules: [{1143BD4F-2A6C-469C-81EF-79F0F933CB75}] => (Allow) LPort=8031
FirewallRules: [{4548891C-A3EF-44D3-B7BE-0CEDDE50F936}] => (Allow) LPort=8031
FirewallRules: [{14A2B191-0C9A-454F-A6BF-C072064F3651}] => (Allow) LPort=8031
FirewallRules: [{5141055B-746B-47BF-80C6-A49AB13A7691}] => (Allow) LPort=8031
FirewallRules: [{2C74561C-06B7-4F75-B20F-F03F25F8F185}] => (Allow) LPort=8031
FirewallRules: [{4BEC3157-D893-474D-B8FF-C93EEEFDEFD6}] => (Allow) LPort=8031
FirewallRules: [{3C395D1A-A0E2-4CDD-8B17-56BD162B16C2}] => (Allow) LPort=8031
FirewallRules: [{F2D2E7C2-2F73-4703-957F-F720D01C0A33}] => (Allow) LPort=8031
FirewallRules: [{595F7672-5E9B-4DBC-93F6-622DAA00AA9A}] => (Allow) LPort=8031
FirewallRules: [{B57B911C-D717-4CA2-8481-1DEBAB36AC14}] => (Allow) LPort=8031
FirewallRules: [{213D88DC-4365-45C7-BBAC-F2B807E8B65E}] => (Allow) LPort=8031
FirewallRules: [{45DD5F8F-9C7E-4360-8D4A-51A988425B0D}] => (Allow) LPort=8031
FirewallRules: [{709B1BEF-486A-4A92-8BC1-3D859A4C0F8D}] => (Allow) LPort=8031
FirewallRules: [{01AEEE6A-D8E8-4FD1-B8E9-BF87BAD998C6}] => (Allow) LPort=8031
FirewallRules: [{CC8EA7CE-7402-44D6-89EB-FBD710FD5152}] => (Allow) LPort=8031
FirewallRules: [{DB64A466-40EE-41CC-B5C8-2849A4289F8B}] => (Allow) LPort=8031
FirewallRules: [{58F4832B-20CB-40E7-B9E9-2C6986F1B026}] => (Allow) LPort=8031
FirewallRules: [{19981796-D347-45DC-A517-B451A70E96FC}] => (Allow) LPort=8031
FirewallRules: [{250E94FC-70D6-4C1C-9B17-205C37061566}] => (Allow) LPort=8031
FirewallRules: [{0DCAB59D-5D12-400A-BCB9-A3B740456E39}] => (Allow) LPort=8031
FirewallRules: [{96D43051-CFFD-4FA7-81C1-92AB0035E022}] => (Allow) LPort=8031
FirewallRules: [{738402A1-BBC3-4B0E-BC2A-9723EE9A208A}] => (Allow) LPort=8031
StartBatch:
  ECHO Y|CHKDSK C: /F
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
EndBatch:
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически. Выполнение скрипта может занять длительное время (до получаса), дождитесь окончания.

**Pokery** · 12.06.2023, 14:23

Лог-файл прикрепил.

**Sandor** · 12.06.2023, 14:29

Хорошо, попутно:

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

Что сейчас с проблемой?

**Pokery** · 12.06.2023, 16:47

Сообщение от Sandor

Что сейчас с проблемой?

Всё отлично, за исключением просьбы сделать проверку дисков перед запуском системы.

Спасибо огромное за помощь!!!

**Sandor** · 12.06.2023, 16:56

Возможно проблемы с самим диском. Но с этим уже на другой форум.

Здесь в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**Pokery** · 12.06.2023, 19:51

Результат проверки прикрепил.

**Sandor** · 13.06.2023, 08:55

Исправьте по возможности:
---------------------- [ AntiVirusFirewallInstall ] -----------------------
COMODO Internet Security Premium v.12.2.2.8012 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.4.8 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Access database engine 2007 (English) v.12.0.4518.1031 Данная программа больше не поддерживается разработчиком.
------------------------------- [ Imaging ] -------------------------------
IrfanView 4.54 (64-bit) v.4.54 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
AIMP v.v5.02.2366, 02.03.2022 Внимание! Скачать обновления

Подозрение на вирус после запуска трейнера для игры (заявка № 228202)

Опции темы