Требуется проверка системы

@FeODOSiy · Регистрация: 23.01.2021

Author24 — интернет-сервис помощи студентам

Давно не проверял систему, не уверен в её безопасности.

@akok · 25.09.2021, 20:54

1. Проведите экспресс-диагностику компьютера
2. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код

O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\E&xport to Microsoft Excel: (default) = C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Se&nd to OneNote: (default) = C:\Program Files\Microsoft Office\root\Office16\ONBttnIE.dll (file missing)
O9 - Button: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: Send to OneNote - (no file)
O9 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: OneNote Lin&ked Notes - (no file)
O9 - Tools menu item: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: Se&nd to OneNote - (no file)
O9 - Tools menu item: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: OneNote Lin&ked Notes - (no file)
O9-32 - Button: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: Send to OneNote - (no file)
O9-32 - Button: HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}: Lync Click to Call - (no file)
O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: OneNote Lin&ked Notes - (no file)
O9-32 - Tools menu item: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: Se&nd to OneNote - (no file)
O9-32 - Tools menu item: HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}: Lync Click to Call - (no file)
O9-32 - Tools menu item: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: OneNote Lin&ked Notes - (no file)
O17 - DHCP DNS 1: 192.168.0.1
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb-roaming.16: [CLSID] = {83C25742-A9F7-49FB-9138-434302C88D07} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf-roaming.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf.16: [CLSID] = {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file)

@FeODOSiy · 26.09.2021, 13:42 **[ТС]**

https://defendium.info/aqs/qr_... 66AEB55E01

Отчёт

@akok · 26.09.2021, 14:37

Больше не вижу к чему придраться, есть конкретные симтомы?

@FeODOSiy · 26.09.2021, 15:02 **[ТС]**

Есть в папке WINDOWS/temp файл cpuz145_x64.sys, который с удалением появляется снова и снова. Подозреваю что это связано с программой CPU-Z от CPUID, но я её уже удалил и давно ей не пользуюсь. Если отключить и удалить службу этого файла, то она возвращается. То же самое и с реестром. Безопасный режим не помогает. Virustotal не детектит. Если это и не вирус, то почему этот файл не хочет уходить с системы?

@severnyj · 26.09.2021, 15:15

Сообщение от FeODOSiy

Если это и не вирус, то почему этот файл не хочет уходить с системы?

Данный драйвер используют и другие программы, например hwmonitor, CORSAIR iCUE, может еще какие. С помощью Process Monitor можно попробовать отследить, какой софт создает этот драйвер

@FeODOSiy · 16.10.2022, 19:25 **[ТС]**

Спустя год требуется проверка системы

@Sandor · 17.10.2022, 09:17

Здравствуйте!

Опишите подробнее, пожалуйста, какие есть сомнения/подозрения и т.п.

Из замеченного по логам:
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Adobe Flash Player 32 NPAPI
Adobe Flash Player 32 PPAPI
IOBit Driver Booster v8.4.0.432
IObit Software Updater

Дополнительно подготовьте и прикрепите лог сканирования AdwCleaner.

@FeODOSiy · 17.10.2022, 15:19 **[ТС]**

В последнее время возникла паранойя насчёт скрытых майнеров. Источник, с которого я когда-то скачивал, вкладывал их. Сейчас хочу убедиться в их отсутствии.

@Sandor · 17.10.2022, 15:23

1.

Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
- Сбросить политики IE
- Сбросить политики Chrome
Убедитесь, что закрыты все браузеры.
В меню Информационная панель нажмите Запустить проверку.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@FeODOSiy · 17.10.2022, 16:23 **[ТС]**

Логи

@Sandor · 17.10.2022, 16:32

При лечении подразумевается, что вы все рекомендации выполняете. Однако вы так и не удалили перечисленные нежелательные программы.

Почему?

Удалите и соберите новые логи FRST.txt и Addition.txt

@FeODOSiy · 17.10.2022, 17:28 **[ТС]**

Удалил

@Sandor · 18.10.2022, 08:19

Внимание! Рекомендации написаны специально для пользователя FeODOSiy. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Удалите ещё нежелательные программы:

Unity Web Player
Кнопка "Яндекс" на панели задач
Служба автоматического обновления программ

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1795927969-488680332-220883455-1002\...\MountPoints2: {07147782-a222-11ec-9f4a-f44d30bc2870} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1795927969-488680332-220883455-1002\...\MountPoints2: {54ec4ba6-486b-11ec-9f2a-f44d30bc2870} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1795927969-488680332-220883455-1002\...\MountPoints2: {74296fbc-fd10-11eb-9ed8-f44d30bc2870} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1795927969-488680332-220883455-1002\...\MountPoints2: {a2eb83fc-5846-11ec-9f30-f44d30bc2870} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1795927969-488680332-220883455-1002\...\MountPoints2: {bf02931c-fb5c-11eb-9ed5-f44d30bc2870} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1795927969-488680332-220883455-1003\...\MountPoints2: {07147782-a222-11ec-9f4a-f44d30bc2870} - "F:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
FF user.js: detected! => C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\dhpxy8cp.default\user.js [2022-08-17]
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AV: Kaspersky Security Cloud (Disabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
FW: Kaspersky Security Cloud (Disabled) {32888857-01C3-7AB6-E095-11CC1854D0A3}
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhiqhqjm [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [140]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4848]
Toolbar: HKU\S-1-5-21-1795927969-488680332-220883455-1002 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
Toolbar: HKU\S-1-5-21-1795927969-488680332-220883455-1003 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
Toolbar: HKU\S-1-5-21-1795927969-488680332-220883455-500 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Ваш провайдер - Uteam Ltd?

@FeODOSiy · 18.10.2022, 09:49 **[ТС]**

Указанных программ давно нет в системе, это могут быть их остаточные следы
Мой провайдер - Интерсвязь

@FeODOSiy · 18.10.2022, 09:52 **[ТС]**

Вот фикслог

@Sandor · 18.10.2022, 10:05

Хорошо. Какие еще сомнения/подозрения остались?

@FeODOSiy · 18.10.2022, 11:10 **[ТС]**

Некоторые службы имеют копии с индивидуальным кодом в конце названия. При чём оригинальные службы остановлены. Копии ведут на процессы svchost.exe, запущенные от имени пользователя. Так должно быть?

@Sandor · 18.10.2022, 11:32

Да, это нормально.

@FeODOSiy 0 / 0 / 0 Регистрация: 23.01.2021 Сообщений: 21
	26.09.2021, 13:42 [ТС]	3
	https://defendium.info/aqs/qr_... 66AEB55E01 Отчёт 0

@akok 2828 / 846 / 29 Регистрация: 01.09.2009 Сообщений: 1,038
	26.09.2021, 14:37	4
	Больше не вижу к чему придраться, есть конкретные симтомы? 0

@FeODOSiy 0 / 0 / 0 Регистрация: 23.01.2021 Сообщений: 21
	26.09.2021, 15:02 [ТС]	5
	Есть в папке WINDOWS/temp файл cpuz145_x64.sys, который с удалением появляется снова и снова. Подозреваю что это связано с программой CPU-Z от CPUID, но я её уже удалил и давно ей не пользуюсь. Если отключить и удалить службу этого файла, то она возвращается. То же самое и с реестром. Безопасный режим не помогает. Virustotal не детектит. Если это и не вирус, то почему этот файл не хочет уходить с системы? 0

@severnyj 3901 / 2113 / 347 Регистрация: 04.04.2012 Сообщений: 7,746
	26.09.2021, 15:15	6
	Сообщение от FeODOSiy Если это и не вирус, то почему этот файл не хочет уходить с системы? Данный драйвер используют и другие программы, например hwmonitor, CORSAIR iCUE, может еще какие. С помощью Process Monitor можно попробовать отследить, какой софт создает этот драйвер 0

@Sandor 22283 / 15767 / 3048 Регистрация: 08.10.2012 Сообщений: 64,091
	17.10.2022, 09:17	8
	Здравствуйте! Опишите подробнее, пожалуйста, какие есть сомнения/подозрения и т.п. Из замеченного по логам: Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Adobe Flash Player 32 NPAPI Adobe Flash Player 32 PPAPI IOBit Driver Booster v8.4.0.432 IObit Software Updater Дополнительно подготовьте и прикрепите лог сканирования AdwCleaner. 1

@Sandor 22283 / 15767 / 3048 Регистрация: 08.10.2012 Сообщений: 64,091
	17.10.2022, 15:23	10
	1. Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению: Сбросить политики IE Сбросить политики Chrome Убедитесь, что закрыты все браузеры. В меню Информационная панель нажмите Запустить проверку. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!! 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 1

@Sandor 22283 / 15767 / 3048 Регистрация: 08.10.2012 Сообщений: 64,091
	17.10.2022, 16:32	12
	При лечении подразумевается, что вы все рекомендации выполняете. Однако вы так и не удалили перечисленные нежелательные программы. Почему? Удалите и соберите новые логи FRST.txt и Addition.txt 1

@FeODOSiy 0 / 0 / 0 Регистрация: 23.01.2021 Сообщений: 21
	18.10.2022, 09:49 [ТС]	15
	Указанных программ давно нет в системе, это могут быть их остаточные следы Мой провайдер - Интерсвязь 0

@Sandor 22283 / 15767 / 3048 Регистрация: 08.10.2012 Сообщений: 64,091
	18.10.2022, 10:05	17
	Хорошо. Какие еще сомнения/подозрения остались? 1

@FeODOSiy 0 / 0 / 0 Регистрация: 23.01.2021 Сообщений: 21
	18.10.2022, 11:10 [ТС]	18
	Некоторые службы имеют копии с индивидуальным кодом в конце названия. При чём оригинальные службы остановлены. Копии ведут на процессы svchost.exe, запущенные от имени пользователя. Так должно быть? Миниатюры 0

	18.10.2022, 11:32

@Sandor 22283 / 15767 / 3048 Регистрация: 08.10.2012 Сообщений: 64,091
	18.10.2022, 11:32	19
	Да, это нормально. 1