Здравствуйте!
По глупости 9.09 поймала leaj.exe, при запуске открывал папки и файлы из Local/Temp и, судя уведомлениям касперского, браузер самостоятельно пытался перейти по адресам сайтов, но потом перестал. Просканировала kaspersky и dr.Web CureIt, файл по расположению был удален, остались бесконечно новые процессы с автозагрузкой и открытие папок. Прошу помочь избавиться от этого.
Логи AutoLogger прикрепила.

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Web Companion


Пофиксите в HijackThis (http://forum.oszone.net/post-1430293-2.html) только следующие строчки:

O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\PC\AppData\Local\Temp\.ses (2023/09/09) (not signed)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\PC\AppData\Local\Temp\cv_debug.log (2023/09/17) (not signed)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\PC\AppData\Local\Temp\MicrosoftEdgeUpdate.log (2023/09/17) (not signed)
O4 - HKU\S-1-5-19\..\RunOnce: [Java] = C:\Java\lib\javaw.jar (file missing) (User 'Local service')
O4 - HKU\S-1-5-20\..\RunOnce: [Java] = C:\Java\lib\javaw.jar (file missing) (User 'Network service')
O4 - MountPoints2: HKCU\..\{70c4a3ac-e79a-11ed-a5d0-e848b8c82000}\shell\AutoRun\command: (default) = D:\WifiAutoInstallSetup.exe (file missing)
O4 - MountPoints2: HKCU\..\{70c4a3b6-e79a-11ed-a5d0-e848b8c82000}\shell\AutoRun\command: (default) = D:\WifiAutoInstallSetup.exe (file missing)
O4 - MountPoints2: HKCU\..\{70c4a3de-e79a-11ed-a5d0-e848b8c82000}\shell\AutoRun\command: (default) = D:\WifiAutoInstallSetup.exe (file missing)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\\edge_BITS_16876_359178785 (folder)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\\Low (folder)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\\mozilla-temp-files (folder)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\246d6815-b474-438e-ae4f-83f0cf4ef5ee.tmp (not signed)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\b09876dc-678f-4dd1-9eec-d3a81e779c73.tmp (not signed)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\dc75fa3b-0de9-4aa4-8854-681cd5623a0c.tmp (not signed)
O15 - Trusted Zone: http://webcompanion.com
O22 - Tasks: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask - C:\Windows\System32\RemoteFXvGPUDisablement.exe Disable (file missing)
O22 - Tasks: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask - C:\Windows\System32\RemoteFXvGPUDisablement.exe Warning (file missing)
O22 - Tasks: Oracle - C:/Java/lib/javaw.jar (file missing)
O22 - Tasks_Migrated: Oracle - C:/Java/lib/javaw.jar (file missing)


Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (https://www.safezone.cc/resources/farbar-recovery-scan-tool.231/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

Здравствуйте!
Все сделано, отчеты прикрепляю.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Скачайте и распакуйте вложенный архив. Поместите его рядом с файлом C:\Users\PC\Desktop\FRST64.exe
Отключите до перезагрузки антивирус.
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17760/').

Здравствуйте!

Архив лога прикрепила, открытие папок уже не происходит, еще что-то нужно будет сделать?

Да, еще один небольшой скрипт выполните в безопасном режиме (https://www.safezone.cc/threads/kak-zagruzit-windows-v-bezopasnom-rezhime-safe-mode.19645/), пожалуйста.


Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\PC\AppData\Local\Temp\files
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::


Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17760/').

Здравствуйте!

Сделала, лог прикрепила.
Все таки поспешила с выводом, сразу после работы предыдущего шага открытие прекратилось, сейчас появилось вновь.

Скачайте Malwarebytes v.4 (https://downloads.malwarebytes.com/file/mb-windows) (или с зеркала (https://www.safezone.cc/resources/malwarebytes-for-windows.83/)). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве. (https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-v-4.34405/)

Результата скана прикрепляю.

Удалять ничего не нужно.

сейчас появилось вновь »
Покажите скриншот, пожалуйста.

На 1 скриншоте какие папки и файлы открывает сразу после загрузки, на 2 содержание папки Local/Temp и автозагрузки. Открывает все, что может.
Появляются файлы с автозапуском, которых не было ранее, на 3 они без иконок.

Удалите старые и соберите новые логи FRST.txt и Addition.txt

Прикрепляю

Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2519805770-743617746-3109695811-1003\...\Run: [LEAJ] => C:\ProgramData\presepuesto\LEAJ.exe\presepuesto\LEAJ.exe (Нет файла)
HKU\S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415\...\RunOnce: [Java] => C:\Java\lib\javaw.jar (Нет файла)
Startup: C:\Users\PC\AppData\Local\Temp\\0AA05C94-E472-41F9-AA6A-11D6C41639DC []
Startup: C:\Users\PC\AppData\Local\Temp\\A012.tmp [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
Startup: C:\Users\PC\AppData\Local\Temp\\chrome_BITS_4544_1532478374 []
Startup: C:\Users\PC\AppData\Local\Temp\\chrome_BITS_4544_2004283877 []
Startup: C:\Users\PC\AppData\Local\Temp\\chrome_BITS_4544_69594440 []
Startup: C:\Users\PC\AppData\Local\Temp\\chrome_installer.log [] () [Файл не подписан]
Startup: C:\Users\PC\AppData\Local\Temp\\cv_debug.log [] () [Файл не подписан]
Startup: C:\Users\PC\AppData\Local\Temp\\de70db254b5fc4cd97af6a8c2c733d5c-{87A94AB0-E370-4cde-98D3-ACC110C5967D} [] () [Файл не подписан]
Startup: C:\Users\PC\AppData\Local\Temp\\E5F8.tmp [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
Startup: C:\Users\PC\AppData\Local\Temp\\hsperfdata_PC []
Startup: C:\Users\PC\AppData\Local\Temp\\mbam []
Startup: C:\Users\PC\AppData\Local\Temp\\mbsetup.log [] () [Файл не подписан]
Startup: C:\Users\PC\AppData\Local\Temp\\mozilla-temp-files []
Startup: C:\Users\PC\AppData\Local\Temp\\notificationimages []
Startup: C:\Users\PC\AppData\Local\Temp\\pip []
Startup: C:\Users\PC\AppData\Local\Temp\\StructuredQuery.log [] () [Файл не подписан]
Startup: C:\Users\PC\AppData\Local\Temp\\WinGet []
HKU\S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2519805770-743617746-3109695811-1003\...\StartupApproved\Run: => "Web Companion"
HKU\S-1-5-21-2519805770-743617746-3109695811-1003\...\StartupApproved\Run: => "LEAJ"
FirewallRules: [TCP Query User{798F87BD-EF98-420E-AC85-EED935BEC99A}C:\users\pc\downloads\hidden\hidden.exe] => (Allow) C:\users\pc\downloads\hidden\hidden.exe => Нет файла
FirewallRules: [UDP Query User{D84D7619-6CBD-4D8D-87B1-E27EA67CC54B}C:\users\pc\downloads\hidden\hidden.exe] => (Allow) C:\users\pc\downloads\hidden\hidden.exe => Нет файла
FirewallRules: [{88D975D3-1619-4886-87DB-31693A43979D}] => (Block) C:\users\pc\downloads\hidden\hidden.exe => Нет файла
FirewallRules: [{EAAC5402-650F-4588-8DEB-71AC1A8110C4}] => (Block) C:\users\pc\downloads\hidden\hidden.exe => Нет файла
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\utc50c59.default\cache2\*.*"
del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\22kkeg8k.default-release\cache2\*.*"
EndBatch:
Reboot:
End::


Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17760/').

Код запустила, но забыла отключить антивирус...
Но логи прикрепляю

Что сейчас с проблемой?

Для проверки уязвимых мест и устаревшего критического ПО:

Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Лог проверки прикрепляю.

В HiJackThis удаляла из автозагрузок папки и файлы Local/Temp/... , но стоит в директории появиться чему-нибудь, оно автоматически появляется в автозагрузке. Мог ли быть модифицирован какой-то системный файл или это скорее отдельный файл-скрипт?

Давайте сделаем такую проверку (https://www.safezone.cc/threads/kak-ispolzovat-kaspersky-virus-removal-tool.31755/).
Её отчёт упакуйте и прикрепите к следующему сообщению.

Здравствуйте, проверяла два раза, оба раза все чисто, скрины с двумя ошибками в архиве.

Кажется, я справилась с этим надоедливым открыванием папок и файлов!
В очередной раз залезла в HiJackThis и пофиксила в секции O7:
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Startup = C:\Users\PC\AppData\Local\Temp\
После двух перезагрузок ничего не открывалось, в автозагрузке новых процессов/файлов не обнаружила.