Решена Подозрительный софт в автозапуске

[kcowdyine]

Периодически начал замечать что ноут начинает разгонять вентиляторы на ровном месте (чистил и менял термопасту меньше полугода назад, так что этот вариант сразу мимо). Периодически наблюдаю подвисания да и как будто ноут чуть хуже начал работать. Возможно это уже просто временем вызвано, однако я нашел два каких-то непонятных софта в автозапуске винды после того как решил отключить пару программ, которые нужны, но не должны грузить систему каждый раз при запуске.

Посмотрел форум, решил сразу прикрепить и логи и сканы FRST64. Может зря паникую, но на всякий лучше перестраховаться.

 

[akok]

В логах не видно активного заражения

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1228223477-418873032-2948900521-1001\...\Run: [Mattermost] => "C:\Users\tim_w\AppData\Local\Programs\mattermost-desktop\Mattermost.exe" (Нет файла)
  HKU\S-1-5-21-1228223477-418873032-2948900521-1001\...\Run: [RiotClient] => D:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Нет файла)
  HKU\S-1-5-21-1228223477-418873032-2948900521-1001\...\Run: [AF_uuid_2139460] => 78fe64bc-760b-469c-b9cc-8bca3cb6b85b (Нет файла)
  HKU\S-1-5-21-1228223477-418873032-2948900521-1001\...\Run: [AF_counter_2139460] => 3 (Нет файла)
  Task: {3704F0D4-5B2E-42C6-BAE9-E8EB7AAD8873} - System32\Tasks\ASUS\Aura Wallpaper Service => C:\Program Files\ASUS\Aura Wallpaper Service\Aura Wallpaper Service.exe  (Нет файла)
  Task: {AFCE65CB-6270-4E56-A4D6-8CA580F411AF} - System32\Tasks\Driver Booster SkipUAC (tim_w) => "C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe"  /skipuac (Нет файла)
  Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
  AlternateDataStreams: C:\Windows\tracing:? [16]
  AlternateDataStreams: C:\ProgramData\AsDeviceCheck.txt:12B32AE3A2 [4290]
  AlternateDataStreams: C:\ProgramData\CMediaAudioControlPanelData.ini:A7F4960E85 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Illustrator 2022.lnk:0BBB729577 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Marmoset Viewer.lnk:6FF2AA83AC [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TechPowerUp GPU-Z.lnk:718E15FDE8 [4290]
  AlternateDataStreams: C:\Users\tim_w\Application Data:671890e017d8a4fb26004192461213ff [394]
  AlternateDataStreams: C:\Users\tim_w\AppData\Roaming:671890e017d8a4fb26004192461213ff [394]
  cmd: netsh advfirewall reset
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


проведем сканирование KVRT

 

[Sandor]

++
В файле Hosts удалите подобные строки:

109.94.209.70 *.fitgirl-repacks.xyz # Fake FitGirl site

Сделать это удобно в программе

C:\Users\tim_w\Downloads\AutoLogger\AutoLogger\HiJackThis\HiJackThis.exe

В меню Tools -> Files -> Hosts file manager

 

[kcowdyine]

В логах не видно активного заражения

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1228223477-418873032-2948900521-1001\...\Run: [Mattermost] => "C:\Users\tim_w\AppData\Local\Programs\mattermost-desktop\Mattermost.exe" (Нет файла)
  HKU\S-1-5-21-1228223477-418873032-2948900521-1001\...\Run: [RiotClient] => D:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Нет файла)
  HKU\S-1-5-21-1228223477-418873032-2948900521-1001\...\Run: [AF_uuid_2139460] => 78fe64bc-760b-469c-b9cc-8bca3cb6b85b (Нет файла)
  HKU\S-1-5-21-1228223477-418873032-2948900521-1001\...\Run: [AF_counter_2139460] => 3 (Нет файла)
  Task: {3704F0D4-5B2E-42C6-BAE9-E8EB7AAD8873} - System32\Tasks\ASUS\Aura Wallpaper Service => C:\Program Files\ASUS\Aura Wallpaper Service\Aura Wallpaper Service.exe  (Нет файла)
  Task: {AFCE65CB-6270-4E56-A4D6-8CA580F411AF} - System32\Tasks\Driver Booster SkipUAC (tim_w) => "C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe"  /skipuac (Нет файла)
  Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
  AlternateDataStreams: C:\Windows\tracing:? [16]
  AlternateDataStreams: C:\ProgramData\AsDeviceCheck.txt:12B32AE3A2 [4290]
  AlternateDataStreams: C:\ProgramData\CMediaAudioControlPanelData.ini:A7F4960E85 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Illustrator 2022.lnk:0BBB729577 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Marmoset Viewer.lnk:6FF2AA83AC [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TechPowerUp GPU-Z.lnk:718E15FDE8 [4290]
  AlternateDataStreams: C:\Users\tim_w\Application Data:671890e017d8a4fb26004192461213ff [394]
  AlternateDataStreams: C:\Users\tim_w\AppData\Roaming:671890e017d8a4fb26004192461213ff [394]
  cmd: netsh advfirewall reset
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


проведем сканирование KVRT

Все, ушли из автозагрузки, спасибо!

++
В файле Hosts удалите подобные строки:


Сделать это удобно в программе

В меню Tools -> Files -> Hosts file manager

Сделано

 

[Sandor]

В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.