Обсуждение завершено Подозрение на неизвестное вредоносное ПО

[MONARX]

Добрый день, прошу помощи в ситуации с вредоносным процессом Qt5WebEngine. Который взломал половину игр на ПК, проник в ряд приложений, и вызывает разные ошибки связанные с процессам tasklist.exe. Либо же чёрный экран.
Описание есть в этой теме В работе - Вредоносное ПО Cryptowall Ramsomware Вся эта ситуация началась после установки инсталлятора в котором был Trojan.Win32/Wacatac.H!ml его пропустил антивирус, результат удаление многих функций из Windows, нарушение целостности системных файлов, внедрение в драйвера видеокарты, наличие проблем со звуком периодические прерывания. Источник программы которая автоматически инсталлирует Qt5 в папки с программами в системе не нашел. И за него происходит перегрузка ПК и приходится выходить из системы свернуть окна нет возможности когда вылетает ошибка. Пожалуйста прошу помогите выгнать это с пк.

 

[MONARX]

1. У моих друзей этих библиотек в папке нет, играем вместе на оф сервере. Еще раз, когда это работает, вылетала ошибка на процесс tasklist.exe и сбивалось апаратное ускорение в браузере.
2 Снова вчера наблюдал хрень с приостановкой видео на Youtube , включил видео и воспроизведение остановилось само собой, потом пришлось заново включать дальше. Такое происходит после появления этих библиотек чего не было лет 10 и атаки вируса который обнаружил только SpyHunter. На моем компе такого не было, и проблем с инетом нет. Тут 4к воспроизводится легко даже 8к пробовал, чтобы Youtube клинило на ровном месте.

Это следы трояна в браузере, где он не известно, уже не раз удалял эти файлы но снова заражается. Обратите внимание на название папки где его следы.
Dr Web даже не советуйте он ничего не видит, проверено, тоже самое с другими они не находят это. Даже не ставил больше смысла нет.

 

[AlexZir]

Удалите полностью Яндекс-браузер и все его сопутствующие приложения типа алисы, менеджера браузеров, кнопки яндекса и т.д.
Перезагрузите компьютер в безопасный режим и запустите проверку на вирусы оттуда, только нормальным полноценным антивирусом.

 

[MONARX]

Удалите полностью Яндекс-браузер и все его сопутствующие приложения типа алисы, менеджера браузеров, кнопки яндекса и т.д.
Перезагрузите компьютер в безопасный режим и запустите проверку на вирусы оттуда, только нормальным полноценным антивирусом.

Интересно каким имено это проверять, по тому что уже в старой винде пробовал разные только систему засорил а результата ноль. Уже варианты заканчиваются.

 

[AlexZir]

Да легко. Скачиваете триальную версию того же Eset Nod32 с официального сайта, устанавливаете, обновляете базы и вперёд, на проверку. После окончания лечения можно его удалить, хотя я советую купить лицензию.
У вас в стиме, яндекс-браузере и edge интересные параметры прописаны:

--type=gpu-process --gpu-preferences=UAAAAAAAAADgAAAYAAAAAAAAAAAAAAAAAABgAAAAAAAwAAAAAAAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAEgAAAAAAAAASAAAAAAAAAAYAAAAAgAAABAAAAAAAAAAGAAAAAAAAAAQAAAAAAAAAAAAAAAOAAAAEAAAAAAAAAABAAAADgAAAAgAAAAAAAAACAAAAAAAAAA= --mojo-platform-channel-handle=1908 --field-trial-handle=1988,i,5854292622061539328,7139760109811458572,131072 /prefetch:2

А вариантов решения проблемы обычно всегда по крайней мере на 1 больше, чем уже опробовано

 

[MONARX]

Вот наконец то нашло это, и как убрать? Сейчас ESET сканит но пока ничего не нашел. Если не найдет тогда фиг его знает как убрать это. Я думал стим не задет, оказалось что и его заразило. Не удивительно что в безопасном режиме Edge сам открывает страницу на сайт Microsoft и при этом вылетает проводник.

Увы, Eset ничего не нашел. Не знаю уже куда копать.

 

[wumbo12]

Сейчас прийду домой . Буду вам окажу помочь .

 

[wumbo12]

Повторите еще раз FRST
Указать 90 дней.

 

[MONARX]

Ок, сделано.

 

[Удалённый пользователь 27474]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-4260606148-67846778-2486142644-1001\...\Run: [YandexBrowserAutoLaunch_18AE6CCE42C9FE39CFEFAEDDA0820C99] => "C:\Users\MONARX\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-4260606148-67846778-2486142644-1001\...\MountPoints2: {75e5150f-b474-11ed-82d3-b42e99d6245f} - "H:\autorun.exe"
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\Windows\system32\MusNotification.exe (Нет файла)
Edge StartupUrls: Default -> "hxxps://ya.ru","hxxps://ovgorskiy.ru"
FF Plugin-x32: @perfectworld.com/npArcPlayNowPlugin -> D:\Arc\Plugins\npArcPluginFF.dll [Нет файла]
U4 mhyprot2; C:\Users\MONARX\AppData\Local\Temp\mhyprot3.sys [2132520 2022-08-30] (Microsoft Windows Hardware Compatibility Publisher -> miHoYo) <==== ВНИМАНИЕ
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
EmptyTemp:
Reboot:
End::

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

 

[Удалённый пользователь 27474]

+ "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [MicrosoftEdgeAutoLaunch_630E2F82B50B7A52C2B39682BE1B5242] = C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe --no-startup-window --win-session-start /prefetch:5
O4 - HKCU\..\StartupApproved\Run: [YandexBrowserAutoLaunch_18AE6CCE42C9FE39CFEFAEDDA0820C99] = C:\Users\MONARX\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --shutdown-if-not-closed-by-system-restart (2023/02/23)
O22 - BITS Job: (download) {2BCBF10D-0C53-4937-AEF5-454236C9990C} - https://soft.export.yandex.ru/status.xml?stat=install&bitness=64&brandID=int-custo&browser_bitness=64&build=custo&build_id=&clid=2270482&client_id=8741664383715578007&df=1&distr_yandexuid=1000209521658314374&eid=import_instr_limit.-1%3Bno_seed_trials.1%3Binst_date.1677160471&install_type=0&installed=23.1.1.1111&ld=0&machine_id=db0f2f92a2cefe2095239ce25ff4b1b9&os=win10&partner_id=&pok=1&searchbandapp=0&stats_send_status=1&sv=23.1&ud=0&ui=1D35B348-AC20-48E4-9052-F39435AE56F7&user_agent=Mozilla%2F5.0+(Windows+NT+10.0%3B+Win64%3B+x64)+AppleWebKit%2F537.36+(KHTML%2C+like+Gecko)+Chrome%2F108.0.0.0+YaBrowser%2F23.1.1.1111+Yowser%2F2.5+Safari%2F537.36&ver=23.1.1.1111&win_version=10.0.22000&yasoft=yabrowser -> C:\Users\MONARX\AppData\Local\Temp\Yandex_Browser_BITS_7872_1216539515\response - 'C:\Users\MONARX\AppData\Local\Yandex\YandexBrowser\Application\browser.exe' '"C:\Users\MONARX\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --broupdater-stat-bits --broupdater-stat-name=install --bits_job_guid={2BCBF10D-0C53-4937-AEF5-454236C9990C}'

 

[Удалённый пользователь 27474]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.

 

[MONARX]

Для Windows 11 X64 22H2 с включеным TRM 2.0 и безопасной загрузой, это врядли подходит. Второй скрипт навернул Edge и теперь сипятся все процессы в диспетчере куча глюков появилась. Браузер не открывается, ав диспетчере задач процессы вылетают сразу все при наведении курсора. И перустановка результата нет, теперь придется винду переустанавливать. Кроме этого все твики улетели. Огромное спасибо.

Edge пришлось удалить, последствия "скрита" отменил восстановением системы. Более менее все вернулось в нормалное состояние. Вот только Edge теперь накрылся и после перустановки опять белый экран.

 

[akok]

Поздравлю всех причастных и не очень.

Скрипт или таки фикс в HJT? Он вероятнее ломает edge.

HiJackThis - руководство к программе.

официальное руководство к программе HiJackThis

regist.safezone.cc

O4 - HKCU\..\Run: [MicrosoftEdgeAutoLaunch_630E2F82B50B7A52C2B39682BE1B5242] = C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe --no-startup-window --win-session-start /prefetch:5

откатите

 

[Удалённый пользователь 27474]

Запустите hijackthis, нажмите резервные копии, выберите пофикшенный пункт поставив галочку в чекбоксе, нажмите восстановить

 

[MONARX]

Не получается, прога не видит backup. Только системную точку восстановления.

 

[Удалённый пользователь 27474]

делаете так?

 

[Удалённый пользователь 27474]

Что делать, если Microsoft Edge не работает - Служба поддержки Майкрософт

В этой статье приведены несколько советов по запуску Microsoft Edge после аварийного завершения работы.

support.microsoft.com

 

[wumbo12]

Установите инсталятор с оф. источниках. Это должно исправить Edge и вернуть нормальное состояние. Если он поврежден.

https://c2rsetup.officeapps.live.com/c2r/downloadEdge.aspx?platform=Default&source=EdgeStablePage&Channel=Stable&language=ru&brand=M100

 

[MONARX]

Установите инсталятор с оф. источниках. Это должно исправить Edge и вернуть нормальное состояние. Если он поврежден.

https://c2rsetup.officeapps.live.com/c2r/downloadEdge.aspx?platform=Default&source=EdgeStablePage&Channel=Stable&language=ru&brand=M100

Уже пробовал ставить отсюда, результат тот же, белое окно в браузере или чёрное. Не работает. Через greek удалял не помогает.

 

[Удалённый пользователь 27474]

Скопируйте папку C:\Users\имя пользователя\AppData\Local\Microsoft\Edge\User Data (то есть сделайте бекап папки со всем её содержимым)
попробуйте удалить содержимое исходной папки если получится.
Пробуйте открыть браузер.