Обсуждение завершено Подозрение на неизвестное вредоносное ПО

[MONARX]

Добрый день, прошу помощи в ситуации с вредоносным процессом Qt5WebEngine. Который взломал половину игр на ПК, проник в ряд приложений, и вызывает разные ошибки связанные с процессам tasklist.exe. Либо же чёрный экран.
Описание есть в этой теме В работе - Вредоносное ПО Cryptowall Ramsomware Вся эта ситуация началась после установки инсталлятора в котором был Trojan.Win32/Wacatac.H!ml его пропустил антивирус, результат удаление многих функций из Windows, нарушение целостности системных файлов, внедрение в драйвера видеокарты, наличие проблем со звуком периодические прерывания. Источник программы которая автоматически инсталлирует Qt5 в папки с программами в системе не нашел. И за него происходит перегрузка ПК и приходится выходить из системы свернуть окна нет возможности когда вылетает ошибка. Пожалуйста прошу помогите выгнать это с пк.

 

[wumbo12]

Добрый день .
Попробуйте выполнить , CureIT DR.Web и прикрепить отчёт .

 

[Sandor]

@wumbo12, вы хоть пройдите по приведенной ссылке, увидите, что лечение уже произведено.

 

[wumbo12]

@wumbo12, вы хоть пройдите по приведенной ссылке, увидите, что лечение уже произведено.

Ну, так . Просто у них нету произведение по поводу CureIT по свежей базы .

Может у них и так не долечился полностью.

Почему-то , он жалует на этой машине.

 

[MONARX]

Ну, так . Просто у них нету произведение по поводу CureIT по свежей базы .

Может у них и так не долечился полностью.

Почему-то , он жалует на этой машине.

Уважаемый, Dr Web, не может обнаружить данное ПО, более 6 раз была попытка его удалить. Спасибо, но это не дает ни какого результата.

 

[Dragokas]

И за него происходит перегрузка ПК и приходится выходить из системы свернуть окна нет возможности когда вылетает ошибка.

Вполне очевидно, что перезагрузка происходит, потому что вы установили программу, в описании которой явно указано, что она перезагружает ПК
Зайдите в установленные программы и выполните деинсталляцию приложения "Smart Turn Off".
По факту утилита 2010 года, не удивлюсь, если инсталлятор что-то сломал из-за плохой совместимости с новыми ОС.

более 6 раз была попытка его удалить

каким образом?

результат удаление многих функций из Windows, нарушение целостности системных файлов, внедрение в драйвера видеокарты

как вы это определили?

выходить из системы свернуть окна нет возможности когда вылетает ошибка

что за ошибка, скрин есть?

 

[Dragokas]

Тормоза и глюки у вас могут быть из-за того, что установлено 3 защитных продукта, умеющих конфликтовать между собой: Zemana, MBAM, Total Security.
++ сомнительное ПО, связанное с дефрагментацией - PerfectDisk. При таком большом объёме диска, ИМХО, нет нужды.
++ Wondershare, не знаю для чего это, если тоже не знаете, деинсталлируйте.
++ остатки от Avira + 2 vpn одновременно в браузере.

 

[MONARX]

более 6 раз была попытка его удалить. Спасибо, но это не дает ни какого результата.
Тормоза и глюки у вас могут быть из-за того, что установлено 3 защитных продукта, умеющих конфликтовать между собой: Zemana, MBAM, Total Security.
++ сомнительное ПО, связанное с дефрагментацией - PerfectDisk. При таком большом объёме диска, ИМХО, нет нужды.
++ Wondershare, не знаю для чего это, если тоже не знаете, деинсталлируйте.
++ остатки от Avira + 2 vpn одновременно в браузере.

Этого давно нет в системе. Что касается программ Wondenshare это для работы с видео и скачиваний с Youtube. Эти программы используются уже лет 6.

Отдельно об антивирусах, задам вопрос у вас были срабатывания на файл скриншот с корого вы мне сейчас привели?

Перезагрузок сейчас нет, речь про лаги и за Qt5WebEngine, этот процесс вызывает вылет с tasklist.exe именно и за этого нельзя не развернуть ни свернуть окна и еще часто вылеты идут с аппаратного ускорения в браузере, это тоже происходит когда выбивается 0x00000142 ошибка на tasklist.

В общем по порядку sfc /scannow всегда находит повреждённые системные файлы, восстанавливает, но! После этого начинает сильно активно грузить жесткий диск, тоже сегодня после жесткого удаления драйверов было. Так как туда вмешивается процесс Qt5 которого там быть не должно а я уже не один год ставлю драйвера, переустановил чисто только сам драйвер без AMD Control Center. Сразу началась непонятная активность жесткого диска и минут 30 грузило не известно что, по данным диспетчера ни каких признаков. 5% процентов нагрузка на HDD что по шуму явно не так. Когда такая нагрузка вот сейчас напр его не слышно.

Далее Qt5 заразил еще origin, и ряд других игровых центров кроме steam. По мимо этого нанес вред игре Genshin Impact, сломал лаунчер игры. Ни какие удаления установки и т.д. и т.п не помогают эта гадость ставится обратно в папку . Уже писал в тех поддержку подтверждено нарушение безопасности клиента игры.

По поводу драйверов левые файлы QT5 в папке, плюс синие экраны вылетали ранее с сильными тормозами на Qt5Core.dll который не имеет ни какого отношения к драйверам карт AMD.

Далее этот инсталлятор с которого вы привели скриншот устанавливает на пк не известно что и точно не ту программу которую в описании. Ее не обнаружено в установленных программах.

Подозрение на внедрение в систему вредоносного ПО которое при установке чего либо ставится с программой. Вопрос как это удалить.

Вчера вечером я установил Battlefield 1 , и в папке с файлами origin самой игры опять оказались Qt5 файлы. Откуда, если сколько я ставил раньше эту игру близко не было ни когда.

Еще кое что, насчет того что удалено было из системы, например пропала возможность вообще создавать любые документы, папки. Это я восстанавливал через реестр, ключ попросту был удален.

Кроме этого нарушилось возможность переименовывать папки, после этого можно было хоть значки сунуть в название, что не предусмотрено. Даная вредоносная программа, создали еще 3 папки в авто загрузке но их удалось снести от туда, и больше их там нет.

 

[Dragokas]

Через Process Monitor установите Filter - Path "contains" qt5core.dll и отловите, кто создаёт эти файлы.

 

[MONARX]

Можете вы объяснить пж, что это за хрень? ПО мимо этого первая попытка определить источник вызвала зависание проводника и вылет меню + закрытие Process Monitor. Потом с дикой задержкой меню восстановилось.

 

[Dragokas]

По этому скрину непонятно. Давайте иначе.
Удалите файлы qt5core.dll там, где их не должно быть. Затем сделайте лог загрузки и прикрепите отчёт (File - Save - PML).

 

[wumbo12]

Попробуйте повторите FRST , сканирования . И, прикрепить отчет .

 

[Dragokas]

Но честно говоря, посмотрев вторую часть лога, моя рекомендация выглядит так - отформатировать системный диск и установить ОС заново.
Ибо там в логах ещё больше антивирусов, куча оптимизаторов реестра, даже попытка записи в бут сектор. Такое уже не лечится. Не используйте оптимизаторы от слова никогда. Реестр - это база данных, ее по определению не требуется оптимизировать, этим вы делаете только хуже + риск нарваться на обманное ПО, которое под видом оптимизатора доставляет что-то ещё.

 

[MONARX]

Ну в общем попытка была удалить вирус. Но все антивирусы его не видят, по этому использовал разные, только земана его удалила но без толку прыгал с одного браузера в другой. Вопрос в том что делать если этот вирус вернется обратно после установки Windows. Изначально стоял Comodo он то его и проморгал. Хотя раньше такой фигни за 10 лет даже больше не было.

 

[Dragokas]

Не устанавливать мало-полезные программы, и программы с сомнительных источников. И удалить инсталляторы, которые лежат в закромах.
Да и в целом: Рекомендации после удаления вредоносного ПО

 

[MONARX]

В общем то я так и делаю, но искал мод для игры а попал на это. Вместо мода такое, винде 1,5 года было на момент этого случая. Ни каких проблем.

 

[wumbo12]

Ну в общем попытка была удалить вирус. Но все антивирусы его не видят, по этому использовал разные, только земана его удалила но без толку прыгал с одного браузера в другой. Вопрос в том что делать если этот вирус вернется обратно после установки Windows. Изначально стоял Comodo он то его и проморгал. Хотя раньше такой фигни за 10 лет даже больше не было.

Сделайте FRST утилитой , прикрепите отчет . Здесь информация про FRST
Правила оформления запроса о помощи
Для анализа , чтобы выявить остатки .

P.s Без логов, не сможем узнать подозрительных .

 

[Sandor]

Все подобные логи есть в теме лечения.

 

[MONARX]

Выполнено полное сканирование через FRST сегодня. Отметил все доп. галочки. Но толку не много вчера установил Zone Alarm Extreme Security, программа обнаружила следы вируса по всем дискам во всех программах. Даже DDU который ни когда не считался вирусом. Раз запустил и сразу заразило. Но увы после перезагрузки ПК она тоже не может найти ничего. По хоже он ломает все когда программа деактивируется.

 

[MONARX]

Значит суть в том что данный вирус создает раздел вне системы размером в 500 мб. Такой раздел Windows всегда делает один, но сегодня при переустановке был найден еще один с пометкой якобы восстановление Все это было конечно удалено, но если это так тогда его при заражении будет не реально удалить.