Подозрение на вирусы

[Kavr]

Здравствуйте!


Ноутбук ведет себя "подозрительно":
- иногда работают процессы со странными названиями
- периодически быстро открываются и закрываются окна
- без явной причины использование диска и памяти доходит до 100%
- иногда (раз в пару месяцев) неделю подряд с разной периодичностью возникает синий экран (проверка памяти memtest86 проблем не выявила)


Буду благодарен за помощь.

[Info_bot]

Уважаемый(ая) Kavr, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Kavr]

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Хотел воспользоваться сервисом Помогите+, но не удалось оплатить картой, без paypal:
onlypaypal.JPG

[Vvvyg]

Нет вариантов оплаты, продолжаем здесь.

По синим экранам: могут быть сотни причин BSOD, и аппаратные, и программные, драйвера в первую очередь, надо анализировать дампы.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: hxxp://webcompanion.com
O22 - Tasks_Migrated: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1 (file missing)

Деинсталлируйте программы:

Web Companion - принудительно, с помощью Geek Uninstaller Free - если обычным путём не удастся.
WebAdvisor от McAfee
Adobe Flash Player 32 NPAPI - устарел и не поддерживается вендором.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Kavr]

Нет вариантов оплаты, продолжаем здесь.

По синим экранам: могут быть сотни причин BSOD, и аппаратные, и программные, драйвера в первую очередь, надо анализировать дампы.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: hxxp://webcompanion.com
O22 - Tasks_Migrated: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1 (file missing)

Деинсталлируйте программы:

Web Companion - принудительно, с помощью Geek Uninstaller Free - если обычным путём не удастся.
WebAdvisor от McAfee
Adobe Flash Player 32 NPAPI - устарел и не поддерживается вендором.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Спасибо большое! Инструкции выполнил. Но синий экран активизировался и из 7ми попыток запуска Farbar Recovery Scan Tool предположительно до конца дошла одна. Отправляю логи.

[Vvvyg]

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ".

Логи неполные, нужно переделать.

[Vvvyg]

Просьба выполнить в безопасном режме системы.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
HKU\S-1-5-21-554533632-551977351-2879457475-1001\...\Run: [PlanetVPN] => C:\Program Files (x86)\PlanetVPN\PlanetVPN.exe (No File)
ShortcutTarget: $McRebootA5E6DEAA56$.lnk ->  (No File)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
FF Homepage: Mozilla\Firefox\Profiles\iywnpj3h.default-release -> hxxps://poshukach.com?fr=ps&gp=496723&altserp=1
FF NewTab: Mozilla\Firefox\Profiles\iywnpj3h.default-release -> hxxps://poshukach.com?fr=ps&gp=496723&altserp=1
FF SearchPlugin: C:\Users\mi\AppData\Roaming\Mozilla\Firefox\Profiles\iywnpj3h.default-release\searchplugins\Poshukach Engin Search.xml [2022-04-14]
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://poshukach.com?fr=ps&gp=496723&altserp=1
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://poshukach.com?fr=ps&gp=496723&altserp=1
CHR HomePage: Profile 1 -> hxxps://poshukach.com?fr=ps&gp=496723&altserp=1
CHR StartupUrls: Profile 1 -> "hxxps://poshukach.com?fr=ps&gp=496723&altserp=1"
CHR HomePage: Profile 2 -> hxxps://poshukach.com?fr=ps&gp=496723&altserp=1
CHR StartupUrls: Profile 2 -> "hxxps://poshukach.com?fr=ps&gp=496723&altserp=1"
CHR HKU\S-1-5-21-554533632-551977351-2879457475-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo]
CHR HKLM-x32\...\Chrome\Extension: [lbklnemjebnacdgfdbclbcpfocmgilgn]
S2 ZenMate5Service; "C:\Program Files\ZenMate 5\ZenMate.Service.exe" [X]
R2 BdDci; C:\WINDOWS\system32\DRIVERS\bddci.sys [367096 2022-03-12] (Bitdefender SRL -> Bitdefender)
C:\WINDOWS\system32\DRIVERS\bddci.sys
S3 HWiNFO_180; \??\C:\Users\mi\AppData\Local\Temp\HWiNFO64A_180.SYS [X] <==== ATTENTION
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
DeleteKey: HKU\S-1-5-21-4065896076-628433310-3467765972-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZetaGames
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{12644DC5-2271-442B-816F-8CFFD3DDDF32}
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

[Kavr]

Спасибо! Выполнил, лог приложил.

Ссылка на Events.7z: https://drive.google.com/file/d/1iN8...ew?usp=sharing

Еще, дополню, что при первом после перезагрузки запуске google chrome, в адресной строке обычно я вижу:
"https://poshukach.com/?fr=ps&gp=496723&altserp=1"

[Vvvyg]

Вот как раз пошукач из браузеров должны были этим фиксом удалить. Ещё наблюдается7

- - - - -Добавлено - - - - -

По журналам событий причину BSOD тоже не видно, дамп не создаётся из-за ошибки. Попробуем общие решения.

Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
Покажите вывод после завершения проверки.

[Kavr]

Спасибо! Пошукач вроде бы исчез, сегодняшние 2 синих экрана его не было.

Проверка sfc /scannow завершилась успешно. В момент, когда я копировал результат в буфер, случился синий экран. По памяти (почти точно) там было написано 100% complete ... did not find ane intergrated violations.

[Vvvyg]

Ноутбук HP? Модель?

Сделайте ещё проверку KVRT. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

[Kavr]

Xiaomi Notebook Pro 15. Проверка с KVRT, к сожалению, завершается синим экраном( В том числе в безопасном режиме. Отчет прикладываю, но он явно неполный, такой же создается на старте, кажется.

На что обращаю внимание. Когда синий экран возникает во время проверок KVRT, FRST, перед ним появляется звук включения охлаждения (тихо, штатно) внутри ноутбука. Далее 5-10-15 секунд шумит, выключается и через 2-5 секунд все движения на экране прекращаются, еще ~1 секунда и синий экран. При этом температуры не зашкаливают(. Но если синий экран появляется не во время проверки спецутилитами, то нередко все происходит без шума вентилятора.

Бывает так же что синий экран появился, ноутбук перезагружается и в самом начале перезагрузки опять синий экран. Бывает что так 3+ раза подряд и нужно выключить и включить чтобы хоть как-то загрузилось. А бывает, что 3 раза подряд на загрузке синий экран, а на 4й (условно) загружается и работает часами.

[Vvvyg]

Можно попробовать драйвера на видео, чипсет именно с сайта вендора установить. Попался как-то ноут Packard Bell, знакомый установил драйвера с сайта Nvidia самые свежие, и пошли синие экраны. На всех версиях, что были доступны, помог только откат на родные.

[Kavr]

Спасибо большое за консультации и работу! Пока, к сожалению, не получается выполнить последнюю рекомендацию. Ссылка на драйвера на оф. сайте ведет отсюда "https://www.mi.com/in/service/support/mi-notebook-pro-w10.html" не работает несколько дней.

[Vvvyg]

Стоит сделать загрузочную флэшку с Windows 10 liveCD (здесь есть гайды) и поработать какое-то время с неё. Если те же проблемы - наверняка дело в железе.

[Kavr]

Спасибо, пробую! Сделал liveCD на флешке вчера вечером загрузился. Выполнил проверку FRST, она сработала! правда гораздо быстрей чем на windе с жесткого диска. Актуально отправлять сюда результат или это совсем не то? Проверка KVRT не запускается (пишет что драйвер не запустился). Полноценно поработать "на флешке" попробую чуть позже.

[Vvvyg]

Выполнил проверку FRST, она сработала! правда гораздо быстрей чем на windе с жесткого диска. Актуально отправлять сюда результат или это совсем не то?

Скорее всего, проверка была для системы, запущенной с флэшки, результат не очень полезен.

[Kavr]

Поработал "на флешке" несколько часов без ошибок. В штатной работе сбои продолжались, правда после попытки обновить один из драйверов синий экран превратился в "зависание". Сегодня обновился до windows 11 и удалось выполнить до конца проверки FRST и KVRT (результат прикладываю к сообщению). Синего экрана и зависаний (троекратное ура!) пока нет, хотя ранее это появлялось каждый раз при попытке выполнить FRST или KVRT. Ноутбук, по ощущениям, работает лучше. Правда вновь проявился "пошукач" в хроме после перезагрузки.

[Vvvyg]

Правда вновь проявился "пошукач" в хроме после перезагрузки.

В хроме не вижу, только в Firefox.

Система обновилась до Windows 11. в этом и причина изменений.

Уведомление

Внимание, куки браузеров будут очищены, при входе на сайты с авторизацией последует запрос пароля

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
FF NewTab: Mozilla\Firefox\Profiles\iywnpj3h.default-release -> hxxps://poshukach.com?fr=ps&gp=496723&altserp=1
FF NetworkProxy: Mozilla\Firefox\Profiles\iywnpj3h.default-release -> no_proxies_on", "localhost, 188.166.142.39"
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://poshukach.com?fr=ps&gp=496723&altserp=1
File: C:\WINDOWS\System32\DRIVERS\WinSetupMon.sys
Virustotal: C:\WINDOWS\System32\DRIVERS\WinSetupMon.sys
S3 89fb2937; C:\WINDOWS\System32\Drivers\89fb2937.sys [377392 2024-01-11] (Microsoft Windows Hardware Compatibility Publisher -> AO Kaspersky Lab)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
FirewallRules: [{97730730-5238-4E7C-98B1-E90801467A13}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File
FirewallRules: [{83D431A9-18A4-44A5-A8CB-E293A3EC9688}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File
FirewallRules: [{8BE5B937-D8D4-434A-898D-9EDF6E62CFC2}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.64.80.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => No File
FirewallRules: [{ED6D1CD3-3565-4CA5-A5D4-011174BC5C7E}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.64.80.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => No File
FirewallRules: [{3A3572DF-85C4-4E49-9DCE-FE8F9E474EFD}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.64.80.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => No File
FirewallRules: [{3EB320D3-01CB-4B4B-8C8D-1A718E6F4027}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.64.80.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => No File
Emptytemp:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

[Kavr]

Прикладываю лог.

Пошукач был в chrome в настройках "запуск Chrome". Перед перезагрузкой я удалил его из настроек, после перезагрузки он не восстановился как было раньше. Наверное норм. Спасибо!