Добрый день!

Стоит у меня 360 Total Security бесплатный, и я сам напортачил - занес вирус в доверяемые файлы. Был найден, но я его занес в белый список. Название у него было знакомое. После этого... Компьютер начал сильно тормозить и гораздо медленнее загружаться. UnHackMe нашел у меня подсаженного криптомайнера, а также некий зараженный установочный файл в корневике диска, который не является загрузочным. А я установочные файлы в корневик никогда не бросаю. И UnHackMe проверяет только то, что запускается реально, то есть какая-то программа, которая могла быть запущена, могла использовать этот зараженный файл.

Стало лучше, но все равно тормоза при загрузке. Загрузил рекомендованную утилиту, запустил, не смог дождаться окончания работы. Загрузился в безопасном режиме, утилита отработала. Логи прилагаются, с более ранним временем.

Потом в безопасном режиме запустил онлайн-проверку от ESET NOD. Лог-файл приложен. Что меня поразило, что WinSysClean.exe, предназначенный для очистки и настройки системы, заражен вирусом с названием Win32/UwS.WinSysClean.A, то есть это исходно нечто порочное. И мой браузер по умолчанию, Avast Secure Browser, был признан нежелательной программой. Хотя его самого не трогали, некоторые установочные файлы были снесены. Ну я примерно понимаю, что это такое, он у меня по умолчанию просто вирусы собирать. Я им не пользуюсь.

После этого утилита отработала и в обычном режиме, логи приложены.

Возможно, я нашел все, что было, только я в это не верю. Прошу помощи в чистке системы.

Тут какой-то парадокс, вторые логи не подгрузились. Похоже, придется написать еще раз отдельным сообщением.

Превысил допустимый объем вложений. Разобрался.

Вторые логи:

Здравствуйте!

WinSysClean X10 PRO - относится к нежелательному ПО также, как и остальные подобные сторонние программы очистки. В системе достаточно собственных средств очистки, которые работают корректно. Так что деинсталлируйте её.


Пофиксите в HijackThis (http://forum.oszone.net/post-1430293-2.html) только следующие строчки:

O1 - Hosts: Reset contents to default
O22 - Tasks: {1F217DED-E972-4BBC-B6CE-9AD6ACD4B0DE} - I:\GSetup.exe (file missing)
O22 - Tasks: {25F0D702-F176-405D-B654-C1899D2A87B4} - I:\GSetup.exe (file missing)
O22 - Tasks: {6F266901-B75C-42A9-9F31-C7422287CB47} - I:\run.exe (file missing)
O22 - Tasks: {DE7447D3-C137-4131-9BFB-3E1394300067} - I:\run.exe (file missing)
O22 - Tasks: Avast Secure Browser Heartbeat Task (Hourly) - C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe --type=heartbeat --hourly
O22 - Tasks: Avast Secure Browser Heartbeat Task (Logon) - C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe --type=heartbeat --logon
O22 - Tasks: WinSysCleanUC - C:\Program Files\WinSysClean X10 PRO\WinSysClean.exe (file missing)


Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (https://www.safezone.cc/resources/farbar-recovery-scan-tool.231/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

Спасибо! Думал, будет хуже.

Просканировал. Поскольку мой антивирус начал нервно реагировать на работу программы, я его временно отключил. Поэтому там запись:

AV: 360 Total Security (Disabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}

Логи не прикрепились, сейчас поправлю.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Скачайте вложенный файл fixlist.txt и поместите его в ту же папку, в которой находится исполняемый файл FRST64.exe
Отключите до перезагрузки антивирус.
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17760/').

Я скачал, спасибо. Но.

Я просмотрел список предлагаемых исправлений. В частности, есть такая строка:

FF ProfilePath: D:\D:\Firefox Plus\Profiles\l4vxyrgx.default [не найдено] <==== ВНИМАНИЕ

Кэш браузера Firefox я перенес на раздел D (SATA HDD), чтобы меньше гробить SSD (системный диск C). Там же на D - своп-файл, временные файлы и т.п. Профиль l4vxyrgx.default в кэше браузера есть, по указанному адресу. Только что посмотрел - все на месте. И файлы с сегодняшними датами.

То есть в данном случае замечание программы как бы не по делу.

Будут ли какие-то последствия от наличия этой строки в скрипте? Мне бы не хотелось использовать диск С для кэша Firefox, это мой основной браузер.

И спасибо за предупреждение, похоже, придется экспортировать все пароли.

Обратите внимание в той строке на букву диска. В логе ниже идёт нормальная строка, так что можно фиксить смело.

А вот... Я же предупреждал! Запустил исправление, и программа просто грохнула мой рабочий профиль Firefox. Но... не удалила ничего. А Firefox при переходе на другой диск создал там зачем-то еще один профиль, которым я не пользовался. При запуске предложил запустить этот профиль... а он по функциям - нуль. Что я делаю? как идиот, копирую данные из одного профиля в другой. А мог бы просто переименовать папки. А потом запустился с этим профилем - и все работает по-старому. Так что я с шифрами, явками и паролями, но при этом и со старым кэшем и куками. Зато Firefox стал запускаться куда быстрее - что-то вредное на нем явно висело. То есть, мой компьютер очищен не полностью, и даже ESET NOD эту фигню не ловит, и даже в безопасном режиме, когда она не активна. Чего же такого мерзкого я нахватал?

Вот лог-файл, посмотрите.

Я серьезно. Запустил UnHackMe, и он полностью завис. Есть подозрения, что не спроста.

O22 - Tasks: {1F217DED-E972-4BBC-B6CE-9AD6ACD4B0DE} - I:\GSetup.exe (file missing)
O22 - Tasks: {25F0D702-F176-405D-B654-C1899D2A87B4} - I:\GSetup.exe (file missing)
O22 - Tasks: {6F266901-B75C-42A9-9F31-C7422287CB47} - I:\run.exe (file missing)
O22 - Tasks: {DE7447D3-C137-4131-9BFB-3E1394300067} - I:\run.exe (file missing) »
Я - старый маразматик! Не доперло до меня сразу, что это за раздел такой. Догадайтесь с трех раз!
Виртуальный DVD-привод!!!
Схема гениальная!!! При загрузке компьютера туда кидают какой-то образ, и он начинает работать, если его программы должным образом прописаны в системе. А если их отловит и удалит антивирус, то исходный образ диска останется без изменений. Я отключил этот привод, теперь не будет ничего подгружаться в любом случае. Теперь буду ковыряться, где этот образ лежит.

HiJackThis новых строчек на виртуальный привод не находит. Кажется, вопрос решен, и я даже понял, как у меня эта дрянь работала. Никогда бы не подумал, что виртуальный DVD может быть опасным.

Большое спасибо! Вопрос можно считать решенным. Хотя этот образ диска я пока что не нашел...

Вопрос можно считать решенным »
Хорошо. В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Спасибо!

Загрузил SecurityCheck, запустил на всякий случай при выключенном антивирусе. А то он, как оказалось, очень нервный. Так что в логах указано, что антивирус не включен.

Обновления по NVIDIA GeForce Experience у 360 Total Security отмечены как совместимые, то есть сделанные не для моей видеокарты. Да, он и за драйверами тоже следит. Рисковать я не хочу.

Обновления по чипсету, AMD Software, я недавно качал по предложению 360 Total Security. Надо разобраться с версией.

Я не вижу смысла обновлять IrfanView, это программа далеко не критического уровня. Хотя она у меня главная по просмотру картинок. Работает, и прилично работает - зачем дергаться?

Обновление браузеров, кроме Mozilla Firefox, меня не интересуют, поскольку я ими не пользуюсь. Стоят в такой версии - ну и пусть стоят.

А на счет неподдерживаемой версии Windows я вполне в курсе.

Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Это желательно включить.
Так ли страшен контроль учетных записей (UAC)? (https://www.outsidethebox.ms/10034/)

На заметку - Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)