Подозрение на вирус

[Filviktor]

Встроенный антивирус постоянно ругается на наличие вирусов в системе. Проверьте, пожалуйста, и посоветуйте что делать.
Заранее спасибо.

[Info_bot]

Уважаемый(ая) Filviktor, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Деинсталлируйте программу Web Companion.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - Startup: C:\Users\Panasonic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RT-Updater.lnk    ->    C:\Ross-Tech\VCDS\VCDS.exe (file missing) Update
O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: hxxp://webcompanion.com
O22 - Tasks: \Microsoft\Windows\CUAssistant\CULauncher - C:\Program Files\CUAssistant\culauncher.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\CUAssistant\CULauncher - C:\Program Files\CUAssistant\culauncher.exe (file missing)
O22 - Tasks_Migrated: Opera scheduled Autoupdate 1543150509 - C:\Users\Panasonic\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O23 - Service S2: McAfee WebAdvisor - C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe (file missing)

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Panasonic\Downloads\opera autoupdate\CUsersPanasonicAppDataLocalProgramsOpera\installing\Opera Browser.lnk"         -> ["C:\Users\Panasonic\AppData\Local\Programs\Opera\launcher.exe"]
>>>  "C:\Users\Panasonic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera Browser.lnk"           -> ["C:\Users\Panasonic\AppData\Local\Programs\Opera\launcher.exe"]
>>>  "C:\Users\Public\Desktop\Offboard Diagnostic Information System.lnk"        -> ["C:\Program Files\OS\OffboardDiagLauncher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VCDS\VCDS Release 24.7.lnk"     -> ["C:\Ross-Tech\VCDS\VCDS.EXE"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Filviktor]

Сделал

[Vvvyg]

Удалите расширение Web Safety в Хроме.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
Edge DefaultSearchURL: Default -> hxxps://find.fnavigate-on.com/results.aspx?q={searchTerms}&gd=RD1002792&searchsource=69&d=051422&n=0670
Edge DefaultSearchKeyword: Default -> yahoosearch
CHR DefaultSearchURL: Default -> hxxps://find.fnavigate-now.com/results.aspx?q={searchTerms}&gd=SY1004294&searchsource=58&d=051422&n=9998
CHR DefaultSearchKeyword: Default -> Yahoo Search
C:\Users\Panasonic\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
025-07-09 06:53 - 2022-05-15 11:31 - 000000000 ____D C:\Users\Panasonic\AppData\Local\Lavasoft
2025-07-09 06:53 - 2022-05-15 11:31 - 000000000 ____D C:\ProgramData\Lavasoft
FirewallRules: [{75F29627-0DE0-49C9-AD88-5B56F039E82B}] => (Allow) C:\Users\Panasonic\AppData\Local\Programs\Opera\87.0.4390.45\opera.exe => No File
FirewallRules: [{F4F283B9-BDAA-46CE-B881-D977EC133EA4}] => (Allow) C:\Program Files (x86)\AOMEI\AOMEI Backupper\6.9.1\ABService.exe => No File
FirewallRules: [{D750AC12-C358-41C1-AA35-328327B0F080}] => (Allow) C:\Program Files (x86)\AOMEI\AOMEI Backupper\6.9.1\ABService.exe => No File
FirewallRules: [{536DCCDA-5B91-4B22-93E2-BD3B49F0C098}] => (Allow) C:\Program Files\VW_PDUAPI_OS\PduProtocolLayerJ2534.exe => No File
FirewallRules: [{60743B78-296F-49D3-BE01-0C78D51E31B5}] => (Allow) C:\Program Files\VW_PDUAPI_OS\PduProtocolLayerVector.exe => No File
FirewallRules: [TCP Query User{8B25C87F-ED8F-4E13-BD36-3E21B1AF349F}C:\program files\wsa sideloader\platform-tools\adb.exe] => (Allow) C:\program files\wsa sideloader\platform-tools\adb.exe => No File
FirewallRules: [UDP Query User{E43A111E-1CA7-4911-88BD-7914E8F15848}C:\program files\wsa sideloader\platform-tools\adb.exe] => (Allow) C:\program files\wsa sideloader\platform-tools\adb.exe => No File
FirewallRules: [{46024EA7-2DE4-443D-98A9-538C892D9DAC}] => (Allow) C:\Ross-Tech\VCDS\VCDS.EXE => No File
File: C:\ProgramData\Synaptics\Synaptics.exe
Virusscan: C:\Users\Panasonic\Desktop\Idecoder\1641549471122135\Decoder.exe
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1189.1 - AVAST Software) Hidden
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
del /q C:\WINDOWS\MEMORY.DMP >nul
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Вставлять код никуда не нужно, программа возьмёт его из буфера обмена. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

[Filviktor]

Прикрепил

[Vvvyg]

Что за программа в папке C:\Users\Panasonic\Desktop\Idecoder - в курсе? Файл

Код:

C:\Users\Panasonic\Desktop\Idecoder\1641549471122135\Decoder.exe

- явный бэкдор: https://virusscan.jotti.org/filescanjob/0kvmy8t45p
Проверьте этот файл ещё на https://www.virustotal.com и дайте ссылку на результат.

Ну и троян, маскирующийся под драйвера Synaptics почистим скриптом. Описание его у Касперского: Trojan.Win32.XRed.mg

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
(explorer.exe ->) (Synaptics) [File not signed] C:\ProgramData\Synaptics\Synaptics.exe
CloseProcesses:
HKU\S-1-5-21-3128231633-142196264-472748635-1000\...\Run: [Synaptics Pointing Device Driver] => C:\ProgramData\Synaptics\Synaptics.exe [771584 2025-07-08] (Synaptics) [File not signed] <==== ATTENTION
2025-07-09 06:53 - 2022-05-15 11:31 - 000000000 ____D C:\Users\Panasonic\AppData\Local\Lavasoft
HKU\S-1-5-21-3128231633-142196264-472748635-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize   (No File) <==== ATTENTION
2025-07-08 19:42 - 2025-02-22 08:42 - 000000000 __SHD C:\ProgramData\Synaptics
CreateRestorePoint:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

[Filviktor]

Эта программа нужна иногда мне для работыб она позволяет считывать пин коды с компьютеров двигателя автомобилей, для установки их в другие авто. Может поэтому считается вредоносной.
https://www.virustotal.com/gui/file/...ceedb184b63eb5

Остальное сделал.

[Vvvyg]

А запускаете именно этот файл, из подпапки 1641549471122135, или что-то из папки Idecoder на рабочем столе? Потому что этот конкретный файл - троян без вариантов. Переместите его из этой папки и пролверьте работоспособность программы.

Сделайте проверку с помощью KVRT, пока ничего не лечите и не удаляйте. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

[Filviktor]

А запускаете именно этот файл

Раньше запускал его, давно программой не пользовался, только что проверил, не работает. Говорит имя файла было поменяно. Ссылка на файл который работает.
https://www.virustotal.com/gui/file/...b8a655b3a49887

[Vvvyg]

Ссылка на файл который работает.
https://www.virustotal.com/gui/file/...b8a655b3a49887

Этот файл менее стрёмно выглядит. А вот И C:\Ross-Tech\VCDS\VCDSLoader X2.exe такой же, видимо, троян/бэкдор, как и C:\Users\Panasonic\Desktop\Idecoder\16415494711221 35\Decoder.exe
Проверьте его для верности на virustotal.

[Filviktor]

https://www.virustotal.com/gui/file/...0127fc6ff712a8
Да выглядит плохо, я могу с ними попрощаться, VCDS перестал работать тоже.

[Vvvyg]

Да, то же самое. В детектах присутствует RAT, Backdoor, т. е. компьютер мог быть под удалённым управлением, когда троян работал, как служба, до выполнения скрипта в FRST. ПО двойного назначения, так сказать.