Подозрение на вирус

[DarthVanger]

Компьютер же пытались лечить др вебом. И он вроде "что-то нашёл". но подозрение осталось.
Помогите долечить пожалуйста.
Логи прилагаю.

[Info_bot]

Уважаемый(ая) DarthVanger, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Yuris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk"    -> ["E:\тор\Tor Browser\Browser\firefox.exe"]
>>>  "C:\Users\Yuris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk"  -> ["C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\AdsPower.lnk"           -> ["C:\Program Files\AdsPower Global\AdsPower.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKCU\..\Run: [PlanetVPN] = C:\Program Files (x86)\PlanetVPN\PlanetVPN.exe (file missing)
O4 - HKCU\..\Run: [ProtonVPN] = C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe (file missing)
O4 - HKCU\..\Run: [utweb] = "C:\Users\Yuris\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (file missing)
O22 - Tasks: AMD RELAUNCHER - F:\INST\amd\Non-WHQL-Radeon-Software-Adrenalin-2020-21.5.1-Win10-64Bit-May6\Bin64\InstallManagerApp.exe /LOCAL0 /HIDEEULA /FROMCLEANINSTALL (file missing)
O22 - Tasks: Opera scheduled assistant Autoupdate 1638370435 - C:\Users\Yuris\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Yuris\AppData\Local\Programs\Opera\assistant" $(Arg0) (file missing)
O22 - Tasks: Opera scheduled assistant Autoupdate 1642879006 - C:\Users\Yuris\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Yuris\AppData\Local\Programs\Opera\assistant" $(Arg0) (file missing)
O22 - Tasks: Opera scheduled Autoupdate 1638370430 - C:\Users\Yuris\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Tasks: Opera scheduled Autoupdate 1642879002 - C:\Users\Yuris\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask - C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Disable (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask - C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Warning (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2010.7-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2010.7-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2010.7-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2010.7-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing)
O22 - Tasks_Migrated: CCleaner Update - C:\Program Files\CCleaner\CCUpdate.exe (file missing)
O22 - Tasks_Migrated: CCleanerSkipUAC - C:\Program Files\CCleaner\CCleaner.exe $(Arg0) (file missing)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[DarthVanger]

хайджек выдал ошибку. наверное связано с тем, что скрипт выаолнялся через неделю после рекомендаций.

логи приложил.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-4156310416-2158845225-4002914802-1001\...\Run: [utweb] => "C:\Users\Yuris\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Нет файла)
Task: {7A1E5CE6-0375-47EE-9BA3-B11078500B7C} - System32\Tasks\Opera scheduled Autoupdate 1638370430 => C:\Users\Yuris\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
Task: {239665EC-8951-4A2D-87E8-540AE6622D2E} - System32\Tasks\Opera scheduled Autoupdate 1642879002 => C:\Users\Yuris\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
Unlock C:\ProgramData\Info
Folder: C:\ProgramData\Info
CustomCLSID: HKU\S-1-5-21-4156310416-2158845225-4002914802-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Yuris\AppData\Local\Microsoft\OneDrive\17.3.7131.1115\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4156310416-2158845225-4002914802-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Yuris\AppData\Local\Microsoft\OneDrive\17.3.7131.1115\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4156310416-2158845225-4002914802-1001_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\WINDOWS\system32\igfxEM.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-4156310416-2158845225-4002914802-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Yuris\AppData\Local\Microsoft\OneDrive\17.3.7131.1115\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4156310416-2158845225-4002914802-1001_Classes\CLSID\{b72e6f5e-f6e0-a9eb-461b-6118363bd15c}\localserver32 -> "C:\Users\Yuris\AppData\Local\0install.net\implementations\sha256new_7ATQFYMYISD5LU42STURHNI33TRSMJBHVQPLEAO3EX4R5WPI6GTQ\DeepL.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-4156310416-2158845225-4002914802-1001_Classes\CLSID\{d936918b-9c4b-555e-074a-c79314be04e1}\localserver32 -> "C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe" -ToastActivated => Нет файла
AlternateDataStreams: C:\Users\Public\AppData:CSM [482]
AlternateDataStreams: C:\Users\Yuris\Application Data:374c9b336db4fa9522b72c58dcd0c3f9 [394]
HKLM\...\StartupApproved\StartupFolder: => "AdsPower.lnk"
FirewallRules: [TCP Query User{697D4527-0BCA-412B-87CE-54A65ABFB248}C:\users\yuris\appdata\local\programs\gologin\gologin.exe] => (Allow) C:\users\yuris\appdata\local\programs\gologin\gologin.exe => Нет файла
FirewallRules: [UDP Query User{AEBCD5CE-A520-4290-9DB9-B6FF4B3DB175}C:\users\yuris\appdata\local\programs\gologin\gologin.exe] => (Allow) C:\users\yuris\appdata\local\programs\gologin\gologin.exe => Нет файла
FirewallRules: [TCP Query User{D6122C8C-746E-484A-9A14-6751131F67CC}C:\program files (x86)\monitorsoftware\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\monitorsoftware\jre\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{67C99934-AD43-43CF-9E98-7AFC5BCD324B}C:\program files (x86)\monitorsoftware\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\monitorsoftware\jre\bin\javaw.exe => Нет файла
FirewallRules: [{7345DDE6-42F4-41A7-B582-D0B2139FB926}] => (Allow) C:\Users\Yuris\AppData\Local\Programs\Opera\81.0.4196.60\opera.exe => Нет файла
FirewallRules: [TCP Query User{44EEFC23-323E-45A9-B58F-07A5FA20775C}C:\users\yuris\desktop\tor browser\browser\torbrowser\tor\pluggabletransports\snowflake-client.exe] => (Allow) C:\users\yuris\desktop\tor browser\browser\torbrowser\tor\pluggabletransports\snowflake-client.exe => Нет файла
FirewallRules: [UDP Query User{83BAAB05-FDA7-4707-9165-425AF8F94EFE}C:\users\yuris\desktop\tor browser\browser\torbrowser\tor\pluggabletransports\snowflake-client.exe] => (Allow) C:\users\yuris\desktop\tor browser\browser\torbrowser\tor\pluggabletransports\snowflake-client.exe => Нет файла
FirewallRules: [{E0EE383B-47CC-49DD-ABCD-77D2FF24CFD9}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{18C8E4BB-58AE-4210-B677-34A84EBAB311}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{72F5C71D-D386-46F6-9C93-9BA2C2704EF2}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [{74DF667F-B43A-4F49-8C94-93E04660A1E2}] => (Allow) C:\Users\Yuris\AppData\Local\Programs\Opera\83.0.4254.19\opera.exe => Нет файла
FirewallRules: [{DBA15083-6796-49BF-8B77-55159752A1BD}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
FirewallRules: [TCP Query User{85285190-6958-43AA-B8C8-142B42BC0FD5}C:\program files\adspower global\adspower global.exe] => (Allow) C:\program files\adspower global\adspower global.exe => Нет файла
FirewallRules: [UDP Query User{369378D9-DAFF-422E-8818-3B63799541A6}C:\program files\adspower global\adspower global.exe] => (Allow) C:\program files\adspower global\adspower global.exe => Нет файла
FirewallRules: [TCP Query User{871D23B5-BAD3-41E3-9334-F7249E45D429}C:\program files\dolphin anty\dolphin anty.exe] => (Allow) C:\program files\dolphin anty\dolphin anty.exe => Нет файла
FirewallRules: [UDP Query User{B803CC1C-FA6F-4BA1-86FD-47D391FA4505}C:\program files\dolphin anty\dolphin anty.exe] => (Allow) C:\program files\dolphin anty\dolphin anty.exe => Нет файла
FirewallRules: [TCP Query User{48D4D1AA-67C8-4DCD-890E-95F525FC6BDF}C:\program files (x86)\multilogin\multilogin.exe] => (Allow) C:\program files (x86)\multilogin\multilogin.exe => Нет файла
FirewallRules: [UDP Query User{89B55077-E37D-44FB-9B88-3C017CC3E4FF}C:\program files (x86)\multilogin\multilogin.exe] => (Allow) C:\program files (x86)\multilogin\multilogin.exe => Нет файла
FirewallRules: [TCP Query User{3CDD5E80-38ED-443E-A92B-BCD4AD62AF58}C:\program files\bellsoft\libericajdk-11-full\bin\javaw.exe] => (Allow) C:\program files\bellsoft\libericajdk-11-full\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{FDDB9070-2BFF-45E9-9349-F2C3CEAB2DC9}C:\program files\bellsoft\libericajdk-11-full\bin\javaw.exe] => (Allow) C:\program files\bellsoft\libericajdk-11-full\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{9B008D7D-46E6-4E04-8DC2-7FF4EC787E10}C:\program files\1cv8\8.3.20.1674\bin\1cv8.exe] => (Allow) C:\program files\1cv8\8.3.20.1674\bin\1cv8.exe => Нет файла
FirewallRules: [UDP Query User{93DFE03C-9247-4FA1-9F1B-AC493F27AEC0}C:\program files\1cv8\8.3.20.1674\bin\1cv8.exe] => (Allow) C:\program files\1cv8\8.3.20.1674\bin\1cv8.exe => Нет файла
FirewallRules: [{B8E147EF-95F5-4C18-A811-23B1697D95F7}] => (Allow) C:\Users\Yuris\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{902C9285-FC11-4A2C-B509-3127661E7C2C}] => (Allow) C:\Users\Yuris\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

[DarthVanger]

лог.

[Vvvyg]

Чисто.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

[DarthVanger]

Спасибо!