В YouTube подозрительная активность

@maus521 · Регистрация: 30.11.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте. Заметил на ноуте, что не открытый Хром сам открывает какие-то вкладки, в частности ютуб, и что-то там делает. При открытии Хрома вкладок нет, но иногда проскакивают на фоне альтаба окно браузера с 17 открытыми вкладками. Плюс в диспетчере уж очень много открытых процессов. Лог прилагаю

@Sandor · 20.04.2023, 10:02

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя maus521. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Maus\AppData\Local\Browserupdphenix\Browserupdphenix.exe', '');
 QuarantineFile('C:\Users\Maus\AppData\Local\ProtectBrowser\ProtectBrowser.exe', '');
 QuarantineFile('C:\WINDOWS\rss\csrss.exe', '');
 DeleteSchedulerTask('Browserupdphenix');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('ProtectBrowser');
 DeleteFile('C:\Users\Maus\appdata\local\browserupdphenix\browserupdphenix.exe', '');
 DeleteFile('C:\Users\Maus\AppData\Local\Browserupdphenix\Browserupdphenix.exe', '64');
 DeleteFile('C:\Users\Maus\AppData\Local\ProtectBrowser\ProtectBrowser.exe', '64');
 DeleteFile('C:\WINDOWS\rss\csrss.exe', '32');
 DeleteFile('C:\WINDOWS\rss\csrss.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AncientDust', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AncientDust', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Подготовьте новый CollectionLog.

@maus521 · 20.04.2023, 18:03 **[ТС]**

Sandor, запускал AVZ с включенным интернетом, потом увидел, что нужно было его выключить. Выключил и попытался запустить еще раз скрипт, мне выпал синий экран, после чего ноут в ребут ушел. Поэтому лучше подожду, что скажете вы

@Sandor · 21.04.2023, 08:37

Продолжим.

1. Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@maus521 · 21.04.2023, 13:38 **[ТС]**

Sandor, все сделал, отчеты в архиве
И такой вопрос: раз ярлыки удалены, можно ли заново их создать из папок с программами?

@Sandor · 21.04.2023, 16:16

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxps://mail.ru/cnt/10445?gp=812205
CHR StartupUrls: Default -> "hxxps://mail.ru/cnt/10445?gp=812205"
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
AlternateDataStreams: C:\Users\Maus\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Maus\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Maus\AppData\Local\Temp:$DATA [16]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@maus521 · 22.04.2023, 16:43 **[ТС]**

Sandor, готово
Вы не заметили вопрос в предыдущем посте: раз ярлыки удалены, можно ли заново их создать из папок с программами?

@Sandor · 22.04.2023, 17:08

Ярлыки были удалены пустые:

[_________________________ Цель не существует __________________________]

>>> "C:\Users\Maus\Desktop\игры\Metro Last Light.lnk" -> ["D:\games\Metro Last Light\MetroLL.exe"]
>>> "C:\Users\Maus\Desktop\игры\Need for Speed Underground 2.lnk" -> ["D:\games\Need for Speed Underground 2\speed2.exe"]
>>> "C:\Users\Maus\Desktop\игры\The Witcher 3 Wild Hunt.lnk" -> ["D:\The Witcher 3 Wild Hunt\bin\x64\witcher3.exe"]
>>> "C:\Users\Public\Desktop\µTorrent.lnk" -> ["C:\Users\Public\AppData\Roaming\uTorrent\uTorrent.exe"]
>>> "C:\Users\Public\Desktop\Сменить ключ в Battlefield 2.lnk" -> ["D:\games\Battlefield 2\BF2KeyMan.exe"]
>>> "C:\Users\Public\Desktop\TLauncher.lnk" -> ["C:\Users\Public\AppData\Roaming\.minecraft\TLauncher.exe"]
>>> "C:\Users\Maus\AppData\Roaming\Microsoft\Word\ркекк310280353515149265\ркекк.docx .lnk" -> ["D:\downloads\УЧЁБА\ПРАКТИКА 5 КУРС\ДОДЕЛАТЬ\ркекк.docx" =>> 14]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Project Zomboid\Деинсталлировать awd.lnk" -> ["D:\games\Project Zomboid\Uninstall\unins000.exe"]
>>> "C:\Users\Maus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\Maus\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Помощник по обновлению до Windows 10.lnk" -> ["C:\Windows10Upgrade\Windows10UpgraderApp.exe"]

Вы, конечно, можете создавать и выносить на Рабочий стол любые ярлыки.

Если проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@maus521 · 24.04.2023, 16:35 **[ТС]**

Sandor, готово

@Sandor · 24.04.2023, 18:57

По возможности исправьте
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.959.18362.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.22.6.1 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent 3.5.1 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 301 (64-bit) v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
iTunes v.12.12.2.2 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^

Читайте Рекомендации после удаления вредоносного ПО

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	21.04.2023, 08:37	4
	Продолжим. 1. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	21.04.2023, 16:16	6
	Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ CHR HomePage: Default -> hxxps://mail.ru/cnt/10445?gp=812205 CHR StartupUrls: Default -> "hxxps://mail.ru/cnt/10445?gp=812205" S3 wuauserv; C:\WINDOWS\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) AlternateDataStreams: C:\Users\Maus\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] AlternateDataStreams: C:\Users\Maus\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] AlternateDataStreams: C:\Users\Maus\AppData\Local\Temp:$DATA [16] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	22.04.2023, 17:08	8
	Ярлыки были удалены пустые: [_________________________ Цель не существует __________________________] >>> "C:\Users\Maus\Desktop\игры\Metro Last Light.lnk" -> ["D:\games\Metro Last Light\MetroLL.exe"] >>> "C:\Users\Maus\Desktop\игры\Need for Speed Underground 2.lnk" -> ["D:\games\Need for Speed Underground 2\speed2.exe"] >>> "C:\Users\Maus\Desktop\игры\The Witcher 3 Wild Hunt.lnk" -> ["D:\The Witcher 3 Wild Hunt\bin\x64\witcher3.exe"] >>> "C:\Users\Public\Desktop\µTorrent.lnk" -> ["C:\Users\Public\AppData\Roaming\uTorrent\uTorrent.exe"] >>> "C:\Users\Public\Desktop\Сменить ключ в Battlefield 2.lnk" -> ["D:\games\Battlefield 2\BF2KeyMan.exe"] >>> "C:\Users\Public\Desktop\TLauncher.lnk" -> ["C:\Users\Public\AppData\Roaming\.minecraft\TLauncher.exe"] >>> "C:\Users\Maus\AppData\Roaming\Microsoft\Word\ркекк310280353515149265\ркекк.docx .lnk" -> ["D:\downloads\УЧЁБА\ПРАКТИКА 5 КУРС\ДОДЕЛАТЬ\ркекк.docx" =>> 14] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Project Zomboid\Деинсталлировать awd.lnk" -> ["D:\games\Project Zomboid\Uninstall\unins000.exe"] >>> "C:\Users\Maus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\Maus\AppData\Local\Microsoft\OneDrive\OneDrive.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Помощник по обновлению до Windows 10.lnk" -> ["C:\Windows10Upgrade\Windows10UpgraderApp.exe"] Вы, конечно, можете создавать и выносить на Рабочий стол любые ярлыки. Если проблема решена, в завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	24.04.2023, 18:57	10
	Сообщение было отмечено maus521 как решение Решение По возможности исправьте ------------------------------- [ Windows ] ------------------------------- Расширенная поддержка закончилась Внимание! Скачать обновления ^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^ Internet Explorer 11.959.18362.0 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- AMD Software v.22.6.1 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ 7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent 3.5.1 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Java ] --------------------------------- Java 8 Update 301 (64-bit) v.8.0.3010.9 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^ -------------------------------- [ Media ] -------------------------------- iTunes v.12.12.2.2 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ Читайте Рекомендации после удаления вредоносного ПО 1

В YouTube подозрительная активность

Решение