Решена Каждые 10 секунд фотографируется рабочий стол на Windows 10

Erorr42

Новый пользователь
Сообщения
10
Реакции
2
Здравствуйте! Столкнулся с такой проблемой, нашел случайно скрытую папку, захожу туда, а там каждые 10 секунд фотографируется рабочий стол. Думал какая-то программа от системы, почитал в интернете, понял что только на Win11 есть она. Думаю, надо посидеть полечить пк с помощью антивирусных программ ( использовал UnHackMe, SpyHunter, KVRT и SUPERAntiSpyware Professional X). В SpyHynter нашел cryptowall ransomware и куки какой-то китайской штуки, вылечил, думал все пройдет. После перезапуска пк тоже самое в той же папке, в UnHackMe ничего критического не нашлось. В SUPERAntiSpyware Professional X нашлись куки - удалил их. В KVRT только GoodByeDPI признало нежелательным, думал из-за него, удалил перезапустил - ничего не помогло. Может кто-то сталкивался с этой проблемой? Можете помочь? При запуске SpyHunter вся эта тема прекращается. Прилагаю логи утилиты HiJackThis. Еще в папке был создан текстовый документ в котром находилось это "shell:recent".
 

Вложения

Последнее редактирование:
Определитесь, где будете продолжать - здесь или на кибер-форуме?
Одновременное лечение на разных ресурсах может вам же повредить и только запутает консультанта.
 

Вложения

Вашу вторую тему на другом форуме закрываю?
 
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Bonjour
IObit Uninstaller 12.3.0.9
SpyHunter
SUPERAntiSpyware
UnHackMe 16.40
Кнопки сервисов Яндекса на панели задач

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\router\svchost.exe', '');
 DeleteFile('C:\Windows\router\svchost.exe', '32');
 DeleteFile('C:\Windows\router\svchost.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hdscr', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hdscr', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


"Пофиксите" в HijackThis только следующие строки (некоторых может не быть):
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O4 - HKCU\..\Run: [hdscr] = C:\Windows\router\svchost.exe (not signed - Microsoft Corporation - 4D38DA3747B204DB7613C85FEBE4934E55C1E072)
O4 - HKCU\..\Run: [SUPERAntiSpyware] = C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe (sign: 'RealDefense LLC')
O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: SpyHunter4Startup - C:\Program Files (x86)\SpyHunter\SpyHunter4.exe (invalid sign: TRUST_E_BAD_DIGEST - Enigma Software Group USA, LLC. - EAE33698604E30D6E78032D9CD1E4550AE42E1D9)
O22 - Tasks: SUPERAntiSpyware Scheduled Task 4e521018-3eaa-4ed9-9d4f-3376c4164cb7 - C:\Program Files\SUPERAntiSpyware\SASTask.exe "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" /TASK:4e521018-3eaa-4ed9-9d4f-3376c4164cb7 (sign: 'RealDefense, LLC')
O22 - Tasks: SUPERAntiSpyware Scheduled Task b0c7ce81-4186-4ea6-a479-e83f42c419b4 - C:\Program Files\SUPERAntiSpyware\SASTask.exe "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" /TASK:b0c7ce81-4186-4ea6-a479-e83f42c419b4 (sign: 'RealDefense, LLC')
O22 - Tasks: UnHackMe Task Scheduler - C:\Program Files (x86)\UnHackMe\hackmon.exe $(Arg0) (sign: 'Greatis Software LLC')
O22 - Tasks: Uninstaller_SkipUac_egorr - C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe /UninstallExplorer (not signed - IObit - 63B60E1B6D5A1AD587104B950D90226FF2E6D899)

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\router\svchost.exe', '');
 DeleteFile('C:\Windows\router\svchost.exe', '32');
 DeleteFile('C:\Windows\router\svchost.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hdscr', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hdscr', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


"Пофиксите" в HijackThis только следующие строки (некоторых может не быть):
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O4 - HKCU\..\Run: [hdscr] = C:\Windows\router\svchost.exe (not signed - Microsoft Corporation - 4D38DA3747B204DB7613C85FEBE4934E55C1E072)
O4 - HKCU\..\Run: [SUPERAntiSpyware] = C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe (sign: 'RealDefense LLC')
O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: SpyHunter4Startup - C:\Program Files (x86)\SpyHunter\SpyHunter4.exe (invalid sign: TRUST_E_BAD_DIGEST - Enigma Software Group USA, LLC. - EAE33698604E30D6E78032D9CD1E4550AE42E1D9)
O22 - Tasks: SUPERAntiSpyware Scheduled Task 4e521018-3eaa-4ed9-9d4f-3376c4164cb7 - C:\Program Files\SUPERAntiSpyware\SASTask.exe "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" /TASK:4e521018-3eaa-4ed9-9d4f-3376c4164cb7 (sign: 'RealDefense, LLC')
O22 - Tasks: SUPERAntiSpyware Scheduled Task b0c7ce81-4186-4ea6-a479-e83f42c419b4 - C:\Program Files\SUPERAntiSpyware\SASTask.exe "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" /TASK:b0c7ce81-4186-4ea6-a479-e83f42c419b4 (sign: 'RealDefense, LLC')
O22 - Tasks: UnHackMe Task Scheduler - C:\Program Files (x86)\UnHackMe\hackmon.exe $(Arg0) (sign: 'Greatis Software LLC')
O22 - Tasks: Uninstaller_SkipUac_egorr - C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe /UninstallExplorer (not signed - IObit - 63B60E1B6D5A1AD587104B950D90226FF2E6D899)

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Сделал как Вы просили, прикрепляю логи и архив
 

Вложения

Карантин следовало отправить по инструкции.

Проблема ещё сохраняется?

Дополнительно сделайте следующее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Карантин следовало отправить по инструкции.

Проблема ещё сохраняется?

Дополнительно сделайте следующее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Скриншотов больше не вижу после 2 перезапусков ПК , последний был в 11:57.
Стоит сейчас отправлять данный архив quarantine?
 
Да, отправьте. И дополнительные логи тоже соберите.
 
Да, отправьте. И дополнительные логи тоже соберите.
1727172274666.webp
Вот имя карантина.
 
Тут тоже порядок.

В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Тут тоже порядок.

В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Вот логи программы SecurityCheck.
 

Вложения

Исправьте по возможности:

Автоматическое обновление отключено
Oracle VM VirtualBox 7.0.14 v.7.0.14 Внимание! Скачать обновления
WinRAR 7.00 бета 3 64-разрядная v.7.00.3 Внимание! Скачать обновления
Discord v.1.0.9030 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.30767 Внимание! Скачать обновления
Zoom Workplace v.6.0.11 (39959) Внимание! Скачать обновления
µTorrent v.3.6.0.47132 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
Yandex v.24.7.2.1098 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner Professional Edition, версия 6.19.10858 v.6.19.10858 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

Программа, которую мы удалили, скорее всего попала в систему "в ручном режиме", а не через взлом или с помощью какой-либо вредоносной программы. Возможно установил тот, у кого был доступ к компьютеру и известен пароль администратора.
 
Исправьте по возможности:

Автоматическое обновление отключено
Oracle VM VirtualBox 7.0.14 v.7.0.14 Внимание! Скачать обновления
WinRAR 7.00 бета 3 64-разрядная v.7.00.3 Внимание! Скачать обновления
Discord v.1.0.9030 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.30767 Внимание! Скачать обновления
Zoom Workplace v.6.0.11 (39959) Внимание! Скачать обновления
µTorrent v.3.6.0.47132 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
Yandex v.24.7.2.1098 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner Professional Edition, версия 6.19.10858 v.6.19.10858 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

Программа, которую мы удалили, скорее всего попала в систему "в ручном режиме", а не через взлом или с помощью какой-либо вредоносной программы. Возможно установил тот, у кого был доступ к компьютеру и известен пароль администратора.
Хорошо, благодарю Вас за помощь! Эта вредоносная программа шпионская или просто для засорения места на диске?
 
Просто для периодического создания скриншотов.
Впрочем, нередко злоумышленники используют легитимные программы для своих вредных целей.
 
Просто для периодического создания скриншотов.
Впрочем, нередко злоумышленники используют легитимные программы для своих вредных целей.
Фух, камень с души, еще раз спасибо! Буду обращаться к Вам еще, если что-то случится ( надеюсь этого никогда больше не произойдёт ). Хорошего Вам дня.
 
Назад
Сверху Снизу