Решена Подхватил AV Blocker (предположительно)

[Odgorian]

Здравствуйте.

Недавно заметил, что на видеокарту возникает несоразмерная нагрузка. Стал грешить на драйвера, переставил их, откатился на версию начала года — проблему не решило. Сегодня обратил внимание на то, что если оставить диспетчер задач открытым, то через какое-то время он самостоятельно закроется. Стал гуглить — интернет сказал, что это может быть симптомом пойманного AV Blocker. В качестве других симптомов были приведены автоматическое закрытие сайтов с антивирусами и gpedit.msc. Проверил — да, эти проблемы у меня тоже возникли.
Попытался скачать AV Blocker Remover. Столкнулся с ожидаемой проблемой — сайт не открывался, часть зеркал автоматически закрывалась. Скачал с другого устройства последнюю версию, перекинул на свой компьютер, попытался запустить. С оригинальным именем программа не запускалась с сообщением "запрещено вашим системным администратором", когда переименовал — закрывалась спустя пару секунд. Запустил её через безопасный режим — она сработала.
После окончания работы и перезагрузки проверил предыдущие симптомы — их не возникло. Я имею доступ к сайтам с антивирусами, gpedit.msc и диспетчер задач не закрываются автоматически.
Насколько я понимаю, AV BR удалил этот майнер, но у меня нет уверенности, что он был единственным. Пожалуйста, укажите, какую информацию и как именно мне следует предоставить.
Прилагаю лог работы AV BR.

Заранее спасибо!

 

[regist]

AVBr запустите ещё раз нормального режима, а затем Правила оформления запроса о помощи

 

[Odgorian]

Запустил AVBr из нормального режима. Прилагаю лог его работы.
После автоматической перезагрузки Защитник Виндоус увидел несколько проблем (три трояна и puadimanager). Я поместил их в карантин.

Я скачал AutoLogger, выключил Защитник Виндоус, запустил AutoLogger. Прилагаю результаты его работы.

 

[Sandor]

Деинсталлируйте нежелательную программу

proved-prediction

Дополнительно, пожалуйста:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Odgorian]

Программа "proved-prediction" была удалена ранее, но это почему-то не было зарегистрировано. Попытка удаления зарегистрировала эту информацию и удалила программу из списка.

Прилагаю отчёты.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2468405057-1462108189-600222248-1001\...\MountPoints2: {b61ff5d5-cd1b-11ec-bcaf-9c5c8e826a10} - "H:\Autoplay.exe" -auto
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {525D9A81-481E-49B4-8E9E-4817F5D129E1} - System32\Tasks\proved-prediction => C:\ProgramData\properties-pregnant\bin.exe /H (Нет файла)
  Task: {BEFC877D-BB8A-40CB-84C4-3B06738FDDA6} - System32\Tasks\AdLock Update Task-S-1-5-21-2468405057-1462108189-600222248-1001 => "%WINDIR%\System32\msiexec.exe" /i "C:\Users\Одгор\AppData\Local\Programs\AdLock\9cb52eb804.msi" /quiet CHROME=1
  YAN DefaultSearchKeyword: Default -> find-it.pro
  YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
  C:\Users\Одгор\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
  AdLock Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-2468405057-1462108189-600222248-1001\...\{e282488c-31a1-4c28-8005-85fbe031884f}) (Version: 1.0.0.0 - AdLock) Hidden
  priority manage 1.4.2.74 (HKLM-x32\...\{4277c7ab-7e41-4736-b297-3165c58cd09c}) (Version: 1.4.2.74 - Mertz, Kutch and Kilback Inc) Hidden
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


В перечне установленных программ появятся скрытые ранее

AdLock Privacy Ad Blocker 1.0.0.0
priority manage 1.4.2.74

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

[Odgorian]

Сделано. Удалил ранее скрытые программы с помощью Geek Uninstaller'а. Спасибо за его демонстрацию — CCleaner, который я раньше использовал для этой задачи, нравится мне меньше.

Заметка: выход из аккаунтов произошёл, но окна с ранее открытыми вкладками открылись без проблем.

 

[Sandor]

Хорошо. Проблема решена?

 

[Odgorian]

Насколько я могу судить. Те симптомы, что наблюдались ранее, сейчас не проявляются, видеокарта не нагревается в режиме покоя — но я не проводил более конкретных тестов, ориентируюсь только на ощущения, так что могу видеть то, что хочу видеть.

 

[Sandor]

Хорошо. Проделайте завершающие шаги и понаблюдайте. Тема пока не закрывается.

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора.
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Odgorian]

Большое спасибо! Я планирую наблюдать в течение недели, если никаких проблем не появится — напишу про это 24.09. Конечно, если появятся — напишу быстрее Ещё раз спасибо!

 

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.37.0 Внимание! Скачать обновления
GitHub Desktop v.3.0.3 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.68.0 Внимание! Скачать обновления
Python 3.10.5 (64-bit) v.3.10.5150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9004 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC (64-bit) v.22.001.20085 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

По возможности исправьте указанное.
Читайте Рекомендации после удаления вредоносного ПО

напишу про это 24.09

Договорились. Тему помечаю решённой.

 

[Odgorian]

Результат: у меня всё ещё периодически возникают проблемы с производительностью, которых не должно было быть по моим ощущениям, но значительно реже, в то время как раньше они были постоянно. Большое спасибо за Вашу помощь!

 

[Sandor]

Причины этого не обязательно вирусного характера.

 

[Odgorian]

Да, скорее всего, моей видеокарте уже просто пора на покой — но, по крайней мере, теперь она проживёт дольше.