Помогите определить, есть-ли зловреды в системе?

[boneadventure]

Здравствуйте, принесли родственники ноут посмотреть (тормоза, шум кулеров постоянный). Asus X509DA: Windows 10 Home, Ryzen 3200U Vega 3 Graphics, 4 GB ОЗУ, NVMe SSD Samsung. Стояло 3! сторонних антивируса: 360 total security, avast free antivirus, McAfee LifeSafe (вроде бы нерабочий пару лет по причине неоплаты). В дефендере отображались первые два. Снёс все, включил в защитнике что отключено было, перезагрузился, сделал полную проверку. Нашлось 9 угроз (скин прикрепил). Потом сделал проверку автономным модулем с перезагрузкой.
Сейчас по итогу производительность в норме вроде, но постоянный шум на ровном месте, и высокие температуры GPU и CPU на фоне их небольшой загрузки. Помогите, пожалуйста, если обнаружится в логах живность какая, прибить грамотно.

[Info_bot]

Уважаемый(ая) boneadventure, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - ActiveSetup: HKLM\..\{3961E42E-3903-431D-8DB3-B786F8AED2F7}: [StubPath] = "c:\users\1\appdata\local\360extremebrowser\Chrome\Application\22.3.5122.64\Installer\setup.exe" --configure-user-settings --verbose-logging --system-level (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty)
O22 - Tasks_Migrated: \McAfee\DAD.Execute.Updates - C:\Program Files\Common Files\McAfee\DynamicAppDownloader\1.6.102\DADUpdater.exe (file missing)
O22 - Tasks_Migrated: \McAfee\McAfee Auto Maintenance Task Agent - {ABCECA3B-EA5A-496B-A021-5C6BAB365E5C} - (no file)
O22 - Tasks_Migrated: \McAfee\McAfee Idle Detection Task - {ABCDCA3B-DE6B-5A7C-B132-6D7CBA63E5C5} - (no file)
O22 - Tasks_Migrated: McAfee Remediation (Prepare) - C:\Program Files\Common Files\AV\McAfee VirusScan\upgrade.exe /prepare (file missing)
O22 - Tasks_Migrated: McAfeeLogon - C:\Program Files\Common Files\McAfee\Platform\McUICnt.exe /platui (file missing)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[boneadventure]

Во время сканирования Farbar Recovery Scan Tool дефендер 2 раза ругнулся "найдено потенциально нежелательное приложение".
И ещё может быть важно, в системе 3 пользователя. Админ (под которым выполняю проверку) и 2 пользователя.
Спасибо!

Перевел в текстовый вид сообщение дефендера:

Текущие угрозы
Обнаружены угрозы. Запустите рекомендуемые действия.

PUABundler:Win32/VkDJ_BundleInstaller
07.12.2025 13:46 (Активно)
Низкий
PUABundler:Win32/MSetup
07.12.2025 13:46 (Активно)
Низкий
PUABundler:Win32/YandexBundled
07.12.2025 13:46 (Активно)
Низкий
PUADIManager:Win32/InstallPack
07.12.2025 13:46 (Активно)
Низкий
PUADIManager:Win32/OfferCore
07.12.2025 13:45 (Активно)
Низкий

[Vvvyg]

Деинсталлируйте 360 Extreme Browser, если не используете.

Что за приложение в установленных - 6595CA65EBC2788C52E0FEAC45D215CB, версия 2.5.23 - имеете представление?

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKU\S-1-5-21-3783237231-2775707005-1651372421-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia]
CHR HKU\S-1-5-21-3783237231-2775707005-1651372421-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKU\S-1-5-21-3783237231-2775707005-1651372421-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [makncglipcpahhdkncedphglhmiabdac]
CHR HKU\S-1-5-21-3783237231-2775707005-1651372421-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
FirewallRules: [{B94C2490-5DCC-4284-88C2-3A5FE7608A2B}] => (Allow) C:\Users\1\AppData\Local\Programs\Opera\80.0.4170.63\opera.exe => Нет файла
FirewallRules: [{FDEFDA66-59AF-4F1E-A5D2-6247AFEF38A8}] => (Allow) C:\WINDOWS\System32\DriverStore\FileRepository\asussci2.inf_amd64_4fc38a913e0f2ea5\ASUSLinkRemote\AsusLinkRemoteAgent.exe => Нет файла
FirewallRules: [{6EBB3B35-D157-4C52-BA18-325705BDC10D}] => (Allow) C:\WINDOWS\System32\DriverStore\FileRepository\asussci2.inf_amd64_4fc38a913e0f2ea5\ASUSLinkRemote\AsusLinkRemoteAgent.exe => Нет файла
FirewallRules: [{0AD2EC7E-6151-4E04-9917-09F31C12FF00}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.111.3607.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{03A8E254-BE55-40E4-83E6-3ACA135CDB83}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.111.3607.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{E3D5DA1B-3944-4D7C-AE09-3A92A8836726}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.111.3607.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{A2335EFB-4388-49BD-847F-B52E5A46E5EF}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.111.3607.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{F2FA306B-7B79-4205-B71F-7E68FC703986}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{74047B10-4631-495F-B8AE-995ED5A1D0A0}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{5E6E2DF8-527B-45AC-B8F9-BFEDB456459A}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.113.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{0345AFE3-2D0C-4125-9AD5-DFBE47FD017E}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.113.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{CF22E1FD-6BC8-4615-A43C-CC85BE3D31BE}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.113.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{C82B0635-4AA9-44A7-B834-E1A47A372AA7}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.113.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{C880B2E4-0882-4BF1-9C8B-6E9206C2C290}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe => Нет файла
FirewallRules: [{3BB8DC30-B6B1-49BC-AA70-435212A878C5}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe => Нет файла
FirewallRules: [{FAE1C12A-6765-435A-B7BA-41691074C682}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_4.0.20.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{5F56EEFE-2F79-42A0-962E-1E55474F36E6}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_4.0.20.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{8D588D9E-FF6B-4842-9187-25C64CA5177A}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_4.0.20.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{76311766-3212-4F2C-902E-E5E1E4D588A1}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_4.0.20.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{C9105C73-8C1F-4FCF-BAFE-1ACBCB5360F5}] => (Allow) C:\Users\1\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\ceup.exe => Нет файла
FirewallRules: [{67A263E2-05FF-4092-B650-FD8BAA05F886}] => (Allow) C:\Users\1\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\ceup.exe => Нет файла
FirewallRules: [{085E2C0B-2B06-40C6-841C-5A42ADB64E40}] => (Allow) C:\Users\1\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\360mlupdate.exe => Нет файла
FirewallRules: [{ECB3C5E4-2CAB-4F5D-9CB3-66A1E22A6CBC}] => (Allow) C:\Users\1\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\360mlupdate.exe => Нет файла
FirewallRules: [{F37A644B-1793-4F44-B586-945029518915}] => (Allow) C:\Users\1\AppData\Local\Temp\is-4905S.tmp\6b3f810ef344153e27393cbaa2e83857.exe => Нет файла
FirewallRules: [{D070F2E5-114E-4F10-8236-077CB8AFA377}] => (Allow) C:\Users\1\AppData\Local\Temp\is-4905S.tmp\6b3f810ef344153e27393cbaa2e83857.exe => Нет файла
FirewallRules: [{386BCFE9-F647-43DD-89E3-4FC1BAB5AD67}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_4.0.52.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{AA71E0D9-BFE2-4919-A63C-4492C0BA566F}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_4.0.52.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{D9CB3ABE-2D56-4C61-A2EF-8B3ED3E14391}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_4.0.52.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{C643652C-1362-465E-9127-DA5FB8FD5D2D}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_4.0.52.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{8425B0D3-2338-43A7-AB31-E7DD92DA727B}] => (Allow) C:\Users\1\AppData\Local\360extremebrowser\Chrome\Application\22.3.5122.64\installer\ceup.exe => Нет файла
FirewallRules: [{170A9867-EE67-4392-B496-088ADD60B6B8}] => (Allow) C:\Users\1\AppData\Local\360extremebrowser\Chrome\Application\22.3.5122.64\installer\ceup.exe => Нет файла
FirewallRules: [{42756966-9E34-444C-B920-FC1A716CA27B}] => (Allow) C:\Users\1\AppData\Local\360extremebrowser\Chrome\Application\22.3.5122.64\installer\360mlupdate.exe => Нет файла
FirewallRules: [{CCCAA9A3-4A03-49BC-BAAA-8B6ABB714B5F}] => (Allow) C:\Users\1\AppData\Local\360extremebrowser\Chrome\Application\22.3.5122.64\installer\360mlupdate.exe => Нет файла
FirewallRules: [{9554F0E2-EB99-4285-A289-DDC6C765ED5C}] => (Allow) C:\Users\1\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла
FirewallRules: [{DD28AD2A-F3A1-4151-AFB7-5A08054D67AF}] => (Allow) C:\Users\1\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла
FirewallRules: [{87FC23A9-715D-4C9D-B90E-227651EA4181}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{06E8A5E0-A7FA-4C23-BB56-BEE5FB5BEEE9}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{0135054B-4FF9-4278-8F6B-450186EC9103}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{761B67E4-D5D3-4AEF-8C21-672F4EB55B80}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{3AC38D68-BC72-49AC-940E-D8D656BC8601}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{DE38FC40-9DDD-4FBA-84BA-606DAEB33054}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Вставлять код никуда не нужно, программа возьмёт его из буфера обмена. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Детекты защитника - на приложения яндекса, которые вместе с браузером ставятся: Голосовой помощник Алиса, Кнопки сервисов Яндекса на панели задач. Деинсталлируйте, если не нужны.

Также ругался на LDPlayer, почему-то на него многие антивирусы реагируют, почему - не знаю, кажется, ничего опасного. KVRT находил что-то серьёзное?

во время сканирования FRST детектил это:

Код:

C:\Users\Виктория\Downloads\InstallPack_Whatsapp-Messenger_32238.exe

Имя: PUADlManager:Win32/InstallPack
ИД: 311997
Серьезность: Низкий
Категория: Нежелательная программа

Код:

C:\Users\Виктория\Downloads\Microsoft PowerPoint 2019_setup.exe

Имя: PUABundler:Win32/YandexBundled
ИД: 326563
Серьезность: Низкий
Категория: Нежелательная программа

Серьёзного нет, просто установщики. которые кроме нужного прицепом всякий хлам устанавливают.

[boneadventure]

1. 360 Extreme Browser не вижу в списку установленных программ, видимо он установлен в запароленном профиле "Александра" — удалить нет пока возможности.
2. 6595CA65EBC2788C52E0FEAC45D215CB, версия 2.5.23 — при попытке удаления пишет не удается найти "c:\users\1\AppData\Local\Programs\Telegram\uninst 000exe"
3. KVRT запускал 6 декабря, но полностью не дал ему отработать, прервал проверку. За то время, что он работал ничего не нашлось.
4. Забежал немного вперед паравоза — прогнал Dr.Web CureIt! (24 угроз, все удалил после проверки), перезагрузился, прогнал KVRT (7 объектов, все удалил после проверки, все из категории "Рекламное ПО") — результаты картинками в архиве если что.
5. FRST64 прогнал, лог прикрепил.
6. Яндексовское добро удалил в доступныз профилях.
7. Если можно, вопрос: то, что в загрузках лежало из раздела угроз, это запускалось пользователями, или это действие блокировали установленные антивирусы?
8. Спасибо! )

[Vvvyg]

то, что в загрузках лежало из раздела угроз, это запускалось пользователями, или это действие блокировали установленные антивирусы?

Кто же теперь поймёт, когда антивирусы удалены. Теоретически и Защитник должен был блокировать.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[boneadventure]

Интересно, в логах про McAfee есть записи. Нигде его не наблюдаю на компьютере.

[Vvvyg]

Хвосты остались. Можно удалить с остатками 360 Total Security и Avast. Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
2025-12-03 18:29 - 2021-02-05 20:51 - 000000000 __RSD C:\Users\Виктория\Documents\Хранилища McAfee
2025-12-03 18:28 - 2024-01-27 18:56 - 000000000 ____D C:\Users\Виктория\AppData\LocalLow\360WD
2025-12-06 00:18 - 2024-01-27 18:55 - 000000000 ____D C:\Program Files (x86)\360
2025-12-05 22:17 - 2025-07-18 17:55 - 000000000 ____D C:\Users\1\AppData\LocalLow\360MenuMgr
2025-12-05 21:52 - 2021-10-23 22:34 - 000000000 ____D C:\ProgramData\Avast Software
2025-12-05 21:46 - 2022-02-07 19:21 - 000000000 ____D C:\Users\1\AppData\Local\Avast Software
2025-12-05 21:46 - 2022-02-07 18:53 - 000000000 ____D C:\Users\1\AppData\Roaming\Avast Software
2025-12-05 21:46 - 2022-02-04 10:59 - 000000000 ____D C:\Users\Александра\AppData\Local\Avast Software
2025-12-05 21:46 - 2021-12-05 14:48 - 000000000 ____D C:\Users\Александра\AppData\Roaming\Avast Software
2025-12-05 21:46 - 2021-10-23 22:38 - 000000000 ____D C:\Users\Виктория\AppData\Local\Avast Software
2025-12-05 21:46 - 2021-10-23 22:37 - 000000000 ____D C:\Users\Виктория\AppData\Roaming\Avast Software
CustomCLSID: HKU\S-1-5-21-3783237231-2775707005-1651372421-1001_Classes\CLSID\{0002DF01-0000-0000-C000-000000000046}\localserver32 -> "c:\users\1\appdata\local\360extremebrowser\Chrome\Application\360extremebrowser.exe" => Нет файла
AV: McAfee VirusScan (Enabled - Up to date) {F682A51C-4EAD-6A3A-F460-B9C1D4A2DB09}
FW: Брандмауэр McAfee  (Enabled) {CEB92439-04C2-6B62-DF3F-10F42A719C72}
CreateRestorePoint:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Вставлять код никуда не нужно, программа возьмёт его из буфера обмена. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

В установленных стрёмный WhatsApp, версия 0.0.0.1 - тоже под снос, да и

WhatsApp, версия 0.0.0.1 v.0.0.0.1 Классическая версия приложения больше не поддерживается разработчиком.. Установите программу из Microsoft Store.

Opera Stable 124.0.5705.42 v.124.0.5705.42 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Yandex v.25.10.2.1176 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.143.0.7499.41
Microsoft Edge v.142.0.3595.94 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
Telegram Desktop v.6.3.1 Внимание! Скачать обновления

Обновите браузеры и Telegram, и всё на этом.

[boneadventure]

Понял, сделаю. Спасибо огроменное!