Решена Win7 Вылет программ, и присутствие Helper.exe

  • Автор темы Автор темы Wec
  • Дата начала Дата начала

Wec

Новый пользователь
Сообщения
7
Реакции
0
Работаю на 7 винде (простите), в рандомное время вылетают программы. Любые. Photoshop, Google, Autocad, Exel, Word да что угодно, вылетает через 5 минут, час, 5 часов никогда не догадаешься. При этом запуск ноутбука постоянно в норме. Антивирус не способен обнаружить проблему (и сам тоже пропадал поэтому я его деинсталировал) + была обнаружена вредоносная программа Helper.exe которая уничтожает мой ЦП. Прекращает работу при открытии диспетчера задач.
Как просили, подготовил Лог файл для специалиста. Очень надеюсь на помощь и поддержку!
 

Вложения

Последнее редактирование:
  • Распакуйте архив автоматического сборщика логов в любую удобную для Вас папку.
  • После распаковки у вас появится файл AutoLogger.exe, запустите его и следуйте выводимым рекомендациям.
  • Дождитесь окончания работы сбора логов.
  • По окончанию работы в папке AutoLogger, расположенной там же, куда распаковали архив, вы найдёте новый архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm. Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2017.10.30-22.15
CollectionLog - нужен
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\users\АДМИН\appdata\roaming\microsoft\windows\helper.exe','');
 DeleteFile('c:\users\АДМИН\appdata\roaming\microsoft\windows\helper.exe','32');
 DeleteSchedulerTask('System\SystemCheck');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [SuggestionsURL,TopResultURL] = hxxps://defaultsearch.co?q={searchTerms} - DefaultSearchYahoo
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [URL] = hxxps://securesearch.org?q={searchTerms} - DefaultSearchYahoo
O4 - HKCU\..\Run: [MediaGet2] = C:\Users\АДМИН\MediaGet2\mediaget.exe --minimized (file missing)
O4 - HKCU\..\Run: [uTorrent] = "C:\Users\АДМИН\AppData\Roaming\uTorrent\uTorrent.exe"  /MINIMIZED (file missing)
O4 - HKCU\..\Run: [utweb] = "C:\Users\АДМИН\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (file missing)
O4 - HKLM\..\Run: [Wondershare Helper Compact.exe] = C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (file missing)
O4 - MountPoints2: HKCU\..\{37a98820-b268-11e8-afba-4ceb4294f4ca}\shell\AutoRun\command: (default) = F:\Setup.exe (file missing)
O15 - Trusted Zone: hxxp://webcompanion.com
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\АДМРРќ

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Выполнил все пункты, HiJackThis пофикшен.
Скрипты сработали как надо.
Опасная вирусная программа пропала.
По поводу вылетов не знаю. Нужно время.
Файл quarantine.7z отправлен с помощью формы.
Отчет AdwCleaner отправляю:

К сведенью добавляю:
  • Приложение Web Companion было установлено на устройство изначально. Думаю, это системный пакет программ для исправной работы системы.
  • Пользуюсь исключительно Google браузером. Как туда попали Firefox, Yandex, Yahoo файлы, мне неизвестно.
  • Не пользуюсь системой защиты от Cureit Dr.Web, программа не работает, не позвляет проводить проверки, лечение или скан системы
  • Загрузка ЦП (в момент запуска Дисп.задач 70%) затем стремительно падает и остается на уровне 13 - 25% ; временами подскакивает к 35% и тут же падает.
Кнопка "согласится" (с правилами пользователя) не активна. Приклепляю фото для наглядности.
 

Вложения

  • AdwCleaner[S00].txt
    AdwCleaner[S00].txt
    3.3 KB · Просмотры: 1
  • vRq2ChW6nG.webp
    vRq2ChW6nG.webp
    24.6 KB · Просмотры: 19
Последнее редактирование:
1.
  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Приложение Web Companion было установлено на устройство изначально
Ошибаетесь.

Загрузка ЦП (в момент запуска Дисп.задач 70%) затем стремительно падает и остается на уровне 13 - 25% ; временами подскакивает к 35% и тут же падает.
Это нормальное поведение.
 
Сделал, оправляю файлы.
Но в AdwCleaner карантине, по прежнему остались файлы (отправляю фото для наглядности).
Я не стал их окончательно удалять на всякий случай. Они точно больше не понадобятся для отчетов? и их можно окончательно удалить?
(Да, звучит глупо, я пытаюсь действовать максимально не своевольно).

Добавляю к сведению:
- Вылеты из программ прекратились.
 

Вложения

  • kwt4qbZSis.webp
    kwt4qbZSis.webp
    36.5 KB · Просмотры: 25
  • AdwCleaner[C02].txt
    AdwCleaner[C02].txt
    3.6 KB · Просмотры: 1
  • Addition.txt
    Addition.txt
    56.8 KB · Просмотры: 1
  • FRST.txt
    FRST.txt
    24.5 KB · Просмотры: 1
Последнее редактирование:
Почистим некоторый мусор.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
    CHR HKU\S-1-5-21-4028966880-2787121622-842308473-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    2024-07-06 20:41 - 2019-12-08 06:34 - 000000000 ____D C:\Users\АДМИН\AppData\Roaming\Lavasoft
    2024-07-06 20:41 - 2019-12-08 06:34 - 000000000 ____D C:\Users\АДМИН\AppData\Local\Lavasoft
    2024-07-06 20:41 - 2019-12-08 06:34 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
    FirewallRules: [{8E5B783F-5E34-42D3-BA05-D45CED5E1224}] => (Allow) C:\Users\АДМИН\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{AF0DCDD0-9DFD-434F-B2D5-F8275C9103A9}] => (Allow) C:\Users\АДМИН\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{08609991-BA40-452F-8643-C3056994E354}] => (Allow) C:\Users\АДМИН\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{DAA24C8A-35FA-44CB-B748-470A8ADAEF2B}] => (Allow) C:\Users\АДМИН\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{6412154B-350F-4F94-AFA5-11AC882FA1AB}] => (Allow) LPort=50248
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Fixlog готов!
Больше проблем не вижу, система летает как в былые годы!
Спасибо огромное @akok и @Sandor , даже не знаю как бы я дальше работал!
Я обязательно поддержу этот форум и буду следить за новостями. Правда, спасибо!
Закрою тему как только мне ответят, что всё в порядке.
 

Вложения

Последнее редактирование:
В завершение, пожалуйста:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.
Будет в том числе удалён и карантин (в нём ничего "полезного" нет).

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Исправьте по возможности:

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
7-Zip 22.01 (x64 edition) v.22.01.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 15.08 beta v.15.08 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 5.50 (32-разрядная) v.5.50.0 Внимание! Скачать обновления
ShareX v.15.0.0 Внимание! Скачать обновления
Discord v.1.0.9008 Внимание! Скачать обновления
Telegram Desktop v.5.2.2 Внимание! Скачать обновления
Adobe Creative Cloud v.4.9.0.504 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------
Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО
 
Назад
Сверху Снизу