-
Junior Member
- Вес репутации
- 40
Есть подозрение на вредоносный софт, работающий в фоновом режиме.
Всем доброго времени суток!
Есть подозрение, что на компьютере может присутствовать какое-либо вредоносное ПО, хочу проверить систему на наличие оных (шпионы, вирусы и тд).
Иногда система может не запускать с первого раза программы, а главное - при выключении, винда почти всегда ругается на наличие запущенной программы, которая не дает завершить работу. Причем, часто даже названия или конкретной иконки программы не показывается. Просто идет речь о чем-то, что не дает выключиться компьютеру. Думаю, что это могут быть всякие фоновые софтины для компа (ноутбук с фирменными программами от Асус, к примеру), но все равно подозрительно.
Каких-то прямо ужасных косяков в работе не замечаю, но временами шуровал всякие трейнеры для игр и тд, которые то запускались, то не запускались и прочая. Не исключаю, что с ними могло что-то просочиться.
Логи прикладываю:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Ksenobayt, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
-
-
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
Код:
>>> "C:\Windows\ServiceProfiles\OVRLibraryService\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\Admin\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>> "C:\Users\Admin\Desktop\eldenring — ярлык.lnk" -> ["C:\Users\Admin\Downloads\ELDEN.RING.Deluxe.Edition.Steam.Rip-InsaneRamZes\ELDEN RING\Game\eldenring.exe"]
>>> "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\Admin\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>> "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Generate and insert a TRIAL license.lnk" -> ["C:\Program Files\ESET\TNOD\TNODUP.exe" =>> /j]
>>> "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Самая долгая лицензия.lnk" -> ["C:\Program Files\ESET\TNOD\TNODUP.exe" =>> /o /x]
>>> "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Настройки.lnk" -> ["C:\Program Files\ESET\TNOD\TNODUP.exe" =>> /s]
>>> "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Сохранить текущую лицензию.lnk" -> ["C:\Program Files\ESET\TNOD\TNODUP.exe" =>> /b]
>>> "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Загрузчик лицензий.lnk" -> ["C:\Program Files\ESET\TNOD\TNODUP.exe" =>> /l]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Worms W.M.D [GOG.com]\Удалить Worms W.M.D.lnk" -> ["C:\Games\Metro Exodus\Worms W.M.D\unins000.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Worms W.M.D [GOG.com]\Worms W.M.D.lnk" -> ["C:\Games\Metro Exodus\Worms W.M.D\Worms W.M.D.exe" =>> /LANGUAGE:RUSSIAN]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ENPY Studio\Worms World Party Remastered\Worms World Party Remastered.lnk" -> ["C:\Games\Metro Exodus\Worms World Party Remastered\w2.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ENPY Studio\Worms World Party Remastered\Readme.lnk" -> ["C:\Games\Metro Exodus\Worms World Party Remastered\Readme.rtf"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ENPY Studio\Worms World Party Remastered\Удалить локализацию.lnk" -> ["C:\Games\Metro Exodus\Worms World Party Remastered\ENPY\unins000.exe"]
Отчёт о работе прикрепите.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
Код:
begin
DeleteService('WsDrvInst');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Wondershare Helper Compact.exe', 'x32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Wondershare Helper Compact.exe', 'x64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WSVCUUpdateHelper.exe', 'x64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
DeleteSchedulerTask('ASUS\P508PowerAgent_sdk');
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(false);
end.
Компьютер перезагрузится.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
-
-
Junior Member
- Вес репутации
- 40
Здравствуйте, все сделал. Прикладываю архивы с логами.
-
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Нет файла
FirewallRules: [TCP Query User{C7F5C3AE-A053-48D0-B6A1-2B15C0A99A76}C:\games\max payne 3\max payne 3\maxpayne3.exe] => (Allow) C:\games\max payne 3\max payne 3\maxpayne3.exe => Нет файла
FirewallRules: [UDP Query User{37F4642C-43C7-449A-B692-99B7335A92A9}C:\games\max payne 3\max payne 3\maxpayne3.exe] => (Allow) C:\games\max payne 3\max payne 3\maxpayne3.exe => Нет файла
FirewallRules: [{81B3510A-97B5-4565-94CB-8059777DAA0F}] => (Allow) C:\Program Files (x86)\Microsoft\EdgeWebView\Application\103.0.1264.44\msedgewebview2.exe => Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Деинсталлируйте Java 8 Update 51 (64-bit), это устаревшая версия со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
-
-
Junior Member
- Вес репутации
- 40
-
Вредоносного не было. Почистили мусор, восстановили поврежденные системные файлы.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
-
-
Junior Member
- Вес репутации
- 40
