Попытка трояна

@Sprite3d · Регистрация: 01.09.2020

Author24 — интернет-сервис помощи студентам

Добрый день. сделал как написано-
1. отключил анти и запустил автологер
2. AVZ запустил тоже прикрепил архив

@Sandor · 04.08.2024, 11:23

Здравствуйте!

Вы не описали в чём выражается проблема.

@Sprite3d · 04.08.2024, 15:08 **[ТС]**

добрый день, мне кинули как дизайнеру файл- я открыл думал пдф- а там троян сработал. я запустил авз. а потом у меня просто не включался браузер хром, и яндекс перестал работать, я зашел с браузера едге и скачал все по новой после автологера+ еще винду сделал скан нов- и он нашел и восстановил поврежденные файлы. пока все работает. еще я сделал из за ютуба- отключил TLS 1 чтобы он не тормозил- но я не думаю что из за этого произошел крах

@Sprite3d · 04.08.2024, 21:47 **[ТС]**

Можно в хроме отключить TLS 1 ? чтобы ютуб не тормозил? благодарю

@Sandor · 05.08.2024, 08:09

Сообщение от Sprite3d

в хроме отключить TLS 1 ? чтобы ютуб не тормозил?

Не думаю, что это как-то повлияет на скорость. Впрочем, вопрос не для этой ветки форума.

В логах не видно явных признаков заражения.
Рекомендую деинсталлировать нежелательное ПО:

Wise Disk Cleaner 8.35
Wise Registry Cleaner 8.26

Сделайте дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@Sprite3d · 05.08.2024, 10:43 **[ТС]**

Благодарю сделаю, но когда я отключил TLC ютуб стал нормально загружаться

@Sprite3d · 05.08.2024, 10:45 **[ТС]**

прикрепил архив Вам

@Sandor · 05.08.2024, 10:51

Внимание! Рекомендации написаны специально для пользователя Sprite3d. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-41252551-3356528712-1093918069-1001\...\MountPoints2: {9a9a9719-c4a4-11ec-b1d7-00265a0605e8} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-41252551-3356528712-1093918069-1001\...\MountPoints2: {9a9a9754-c4a4-11ec-b1d7-00265a0605e8} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-41252551-3356528712-1093918069-1001\...\MountPoints2: {9fb1e03b-fde2-11ec-b1fc-00265a0605e8} - "F:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\kot3d\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
C:\Users\kot3d\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
C:\Users\kot3d\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
C:\Users\kot3d\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
C:\Users\kot3d\AppData\Local\Google\Chrome\User Data\Default\Extensions\gopekdefbcehhdiejdiaijhojgbepgec
C:\Users\kot3d\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
C:\Users\kot3d\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
AV: Malwarebytes (Disabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\kot3d\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\kot3d\Application Data:9ed6e01d16b43ed60035852898458827 [394]
AlternateDataStreams: C:\Users\kot3d\Application Data:a8f96ed9f548b3497db5ddd233a8b439 [394]
AlternateDataStreams: C:\Users\kot3d\Application Data:eb92b835a834003ac00ee2632de0e925 [394]
AlternateDataStreams: C:\Users\kot3d\Application Data:ed34bb19b9b8add2cf59465df23aef41 [394]
AlternateDataStreams: C:\Users\kot3d\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\kot3d\AppData\Roaming:9ed6e01d16b43ed60035852898458827 [394]
AlternateDataStreams: C:\Users\kot3d\AppData\Roaming:a8f96ed9f548b3497db5ddd233a8b439 [394]
AlternateDataStreams: C:\Users\kot3d\AppData\Roaming:eb92b835a834003ac00ee2632de0e925 [394]
AlternateDataStreams: C:\Users\kot3d\AppData\Roaming:ed34bb19b9b8add2cf59465df23aef41 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8224]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Sprite3d · 05.08.2024, 11:59 **[ТС]**

Сделал, благодарю

@Sandor · 05.08.2024, 12:23

Если проблем больше нет, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Sprite3d · 05.08.2024, 12:37 **[ТС]**

Сделано!
удалил прогу quiketime
UnityWebPlayer тоже удалить?

@Sandor · 05.08.2024, 12:49

Исправьте по возможности:

--------------------------- [ OtherUtilities ] ----------------------------
Среда выполнения Microsoft Edge WebView2 Runtime v.126.0.2592.113 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
WinRAR 6.10 (64-разрядная) v.6.10.0 Внимание! Скачать обновления
Zoom v.5.16.10 (26186) Внимание! Скачать обновления
µTorrent v.3.5.5.46206 Внимание! Клиент сети P2P с рекламным модулем!.
K-Lite Codec Pack 17.3.5 Standard v.17.3.5 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Wise Registry Cleaner 8.26 v.8.26 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Сообщение от Sprite3d

UnityWebPlayer тоже удалить?

Если не пользуетесь, да, удалите.

Читайте Рекомендации после удаления вредоносного ПО

@Sprite3d · 05.08.2024, 13:04 **[ТС]**

сделал принял, благодарю, все пока работает, перезагружается нормально

@Sprite3d · 27.08.2024, 23:52 **[ТС]**

добрый день удалил перегрузил не помогло(

texas instruments 1394 ohci драйвер win 10 Это устройство работает неправильно, т.к. Windows не удается загрузить для него нужные драйверы. (Код 31)

@Sandor · 28.08.2024, 08:30

Сообщение от Sprite3d

не помогло

Что именно не помогло?

Сообщение от Sprite3d

texas instruments 1394 ohci драйвер win 10

Ваша материнская плата не поддерживает систему Win10.

@Sprite3d · 28.08.2024, 10:43 **[ТС]**

добрый день- не помогла перегрузка- после удаления тоже самое) мать старая( знаем-с эххх

@Sandor · 28.08.2024, 14:34

Я всё равно не понял.

Сообщение от Sprite3d

после удаления

Удаления чего?

Сообщение от Sprite3d

тоже самое

Что именно?

@Sprite3d · 28.08.2024, 18:41 **[ТС]**

удалял через диспетчер устройств багнутый контроллер-после перезагрузки показал тоже самое- не восстановив драйвера)

@Sandor · 28.08.2024, 18:44

Естественно, система пытается снова установить отсутствующий драйвер.
Пробуйте не удалить устройство, а отключить его.

@Sprite3d · 29.08.2024, 00:28 **[ТС]**

сори- видимо мой косяк) когда чистил комп снимал все- забыл вдеть в материнку провод возле проца

@Sandor 22295 / 15777 / 3050 Регистрация: 08.10.2012 Сообщений: 64,152
	04.08.2024, 11:23	2
	Здравствуйте! Вы не описали в чём выражается проблема. 0

@Sprite3d 0 / 0 / 0 Регистрация: 01.09.2020 Сообщений: 52
	04.08.2024, 15:08 [ТС]	3
	добрый день, мне кинули как дизайнеру файл- я открыл думал пдф- а там троян сработал. я запустил авз. а потом у меня просто не включался браузер хром, и яндекс перестал работать, я зашел с браузера едге и скачал все по новой после автологера+ еще винду сделал скан нов- и он нашел и восстановил поврежденные файлы. пока все работает. еще я сделал из за ютуба- отключил TLS 1 чтобы он не тормозил- но я не думаю что из за этого произошел крах 0

@Sprite3d 0 / 0 / 0 Регистрация: 01.09.2020 Сообщений: 52
	04.08.2024, 21:47 [ТС]	4
	Можно в хроме отключить TLS 1 ? чтобы ютуб не тормозил? благодарю 0

@Sandor 22295 / 15777 / 3050 Регистрация: 08.10.2012 Сообщений: 64,152
	05.08.2024, 08:09	5
	Сообщение от Sprite3d в хроме отключить TLS 1 ? чтобы ютуб не тормозил? Не думаю, что это как-то повлияет на скорость. Впрочем, вопрос не для этой ветки форума. В логах не видно явных признаков заражения. Рекомендую деинсталлировать нежелательное ПО: Wise Disk Cleaner 8.35 Wise Registry Cleaner 8.26 Сделайте дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 1

@Sprite3d 0 / 0 / 0 Регистрация: 01.09.2020 Сообщений: 52
	05.08.2024, 10:43 [ТС]	6
	Благодарю сделаю, но когда я отключил TLC ютуб стал нормально загружаться 0

@Sandor 22295 / 15777 / 3050 Регистрация: 08.10.2012 Сообщений: 64,152
	05.08.2024, 12:23	10
	Если проблем больше нет, в завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22295 / 15777 / 3050 Регистрация: 08.10.2012 Сообщений: 64,152
	05.08.2024, 12:49	12
	Исправьте по возможности: --------------------------- [ OtherUtilities ] ---------------------------- Среда выполнения Microsoft Edge WebView2 Runtime v.126.0.2592.113 Внимание! Скачать обновления Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления WinRAR 6.10 (64-разрядная) v.6.10.0 Внимание! Скачать обновления Zoom v.5.16.10 (26186) Внимание! Скачать обновления µTorrent v.3.5.5.46206 Внимание! Клиент сети P2P с рекламным модулем!. K-Lite Codec Pack 17.3.5 Standard v.17.3.5 Внимание! Скачать обновления ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Wise Registry Cleaner 8.26 v.8.26 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы. Сообщение от Sprite3d UnityWebPlayer тоже удалить? Если не пользуетесь, да, удалите. Читайте Рекомендации после удаления вредоносного ПО 0

@Sprite3d 0 / 0 / 0 Регистрация: 01.09.2020 Сообщений: 52
	05.08.2024, 13:04 [ТС]	13
	сделал принял, благодарю, все пока работает, перезагружается нормально 0

@Sprite3d 0 / 0 / 0 Регистрация: 01.09.2020 Сообщений: 52
	27.08.2024, 23:52 [ТС]	14
	добрый день удалил перегрузил не помогло( texas instruments 1394 ohci драйвер win 10 Это устройство работает неправильно, т.к. Windows не удается загрузить для него нужные драйверы. (Код 31) Миниатюры 0

@Sandor 22295 / 15777 / 3050 Регистрация: 08.10.2012 Сообщений: 64,152
	28.08.2024, 08:30	15
	Сообщение от Sprite3d не помогло Что именно не помогло? Сообщение от Sprite3d texas instruments 1394 ohci драйвер win 10 Ваша материнская плата не поддерживает систему Win10. 0

	29.08.2024, 00:28

@Sprite3d 0 / 0 / 0 Регистрация: 01.09.2020 Сообщений: 52
	28.08.2024, 10:43 [ТС]	16
	добрый день- не помогла перегрузка- после удаления тоже самое) мать старая( знаем-с эххх 0

@Sandor 22295 / 15777 / 3050 Регистрация: 08.10.2012 Сообщений: 64,152
	28.08.2024, 14:34	17
	Я всё равно не понял. Сообщение от Sprite3d после удаления Удаления чего? Сообщение от Sprite3d тоже самое Что именно? 0

@Sprite3d 0 / 0 / 0 Регистрация: 01.09.2020 Сообщений: 52
	28.08.2024, 18:41 [ТС]	18
	удалял через диспетчер устройств багнутый контроллер-после перезагрузки показал тоже самое- не восстановив драйвера) 0

@Sandor 22295 / 15777 / 3050 Регистрация: 08.10.2012 Сообщений: 64,152
	28.08.2024, 18:44	19
	Естественно, система пытается снова установить отсутствующий драйвер. Пробуйте не удалить устройство, а отключить его. 0

@Sprite3d 0 / 0 / 0 Регистрация: 01.09.2020 Сообщений: 52
	29.08.2024, 00:28 [ТС]	20
	сори- видимо мой косяк) когда чистил комп снимал все- забыл вдеть в материнку провод возле проца 0