Надо почистить компьютер
 

Добрый день!

Стоит у меня 360 Total Security бесплатный, и я сам напортачил - занес вирус в доверяемые файлы. Был найден, но я его занес в белый список. Название у него было знакомое. После этого... Компьютер начал сильно тормозить и гораздо медленнее загружаться. UnHackMe нашел у меня подсаженного криптомайнера, а также некий зараженный установочный файл в корневике диска, который не является загрузочным. А я установочные файлы в корневик никогда не бросаю. И UnHackMe проверяет только то, что запускается реально, то есть какая-то программа, которая могла быть запущена, могла использовать этот зараженный файл.

Стало лучше, но все равно тормоза при загрузке. Загрузил рекомендованную утилиту, запустил, не смог дождаться окончания работы. Загрузился в безопасном режиме, утилита отработала. Логи прилагаются, с более ранним временем.

Потом в безопасном режиме запустил онлайн-проверку от ESET NOD. Лог-файл приложен. Что меня поразило, что WinSysClean.exe, предназначенный для очистки и настройки системы, заражен вирусом с названием Win32/UwS.WinSysClean.A, то есть это исходно нечто порочное. И мой браузер по умолчанию, Avast Secure Browser, был признан нежелательной программой. Хотя его самого не трогали, некоторые установочные файлы были снесены. Ну я примерно понимаю, что это такое, он у меня по умолчанию просто вирусы собирать. Я им не пользуюсь.

После этого утилита отработала и в обычном режиме, логи приложены.

Возможно, я нашел все, что было, только я в это не верю. Прошу помощи в чистке системы.

Тут какой-то парадокс, вторые логи не подгрузились. Похоже, придется написать еще раз отдельным сообщением.

Превысил допустимый объем вложений. Разобрался.

Вторые логи:

Здравствуйте!

WinSysClean X10 PRO - относится к нежелательному ПО также, как и остальные подобные сторонние программы очистки. В системе достаточно собственных средств очистки, которые работают корректно. Так что деинсталлируйте её.


Пофиксите в HijackThis только следующие строчки:
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Спасибо! Думал, будет хуже.

Просканировал. Поскольку мой антивирус начал нервно реагировать на работу программы, я его временно отключил. Поэтому там запись:

AV: 360 Total Security (Disabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}

Логи не прикрепились, сейчас поправлю.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Скачайте вложенный файл fixlist.txt и поместите его в ту же папку, в которой находится исполняемый файл FRST64.exe
• Отключите до перезагрузки антивирус.
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Я скачал, спасибо. Но.

Я просмотрел список предлагаемых исправлений. В частности, есть такая строка:

FF ProfilePath: D:\D:\Firefox Plus\Profiles\l4vxyrgx.default [не найдено] <==== ВНИМАНИЕ

Кэш браузера Firefox я перенес на раздел D (SATA HDD), чтобы меньше гробить SSD (системный диск C). Там же на D - своп-файл, временные файлы и т.п. Профиль l4vxyrgx.default в кэше браузера есть, по указанному адресу. Только что посмотрел - все на месте. И файлы с сегодняшними датами.

То есть в данном случае замечание программы как бы не по делу.

Будут ли какие-то последствия от наличия этой строки в скрипте? Мне бы не хотелось использовать диск С для кэша Firefox, это мой основной браузер.

И спасибо за предупреждение, похоже, придется экспортировать все пароли.

Обратите внимание в той строке на букву диска. В логе ниже идёт нормальная строка, так что можно фиксить смело.

А вот... Я же предупреждал! Запустил исправление, и программа просто грохнула мой рабочий профиль Firefox. Но... не удалила ничего. А Firefox при переходе на другой диск создал там зачем-то еще один профиль, которым я не пользовался. При запуске предложил запустить этот профиль... а он по функциям - нуль. Что я делаю? как идиот, копирую данные из одного профиля в другой. А мог бы просто переименовать папки. А потом запустился с этим профилем - и все работает по-старому. Так что я с шифрами, явками и паролями, но при этом и со старым кэшем и куками. Зато Firefox стал запускаться куда быстрее - что-то вредное на нем явно висело. То есть, мой компьютер очищен не полностью, и даже ESET NOD эту фигню не ловит, и даже в безопасном режиме, когда она не активна. Чего же такого мерзкого я нахватал?

Вот лог-файл, посмотрите.

Я серьезно. Запустил UnHackMe, и он полностью завис. Есть подозрения, что не спроста.

Я - старый маразматик! Не доперло до меня сразу, что это за раздел такой. Догадайтесь с трех раз!

Схема гениальная!!! При загрузке компьютера туда кидают какой-то образ, и он начинает работать, если его программы должным образом прописаны в системе. А если их отловит и удалит антивирус, то исходный образ диска останется без изменений. Я отключил этот привод, теперь не будет ничего подгружаться в любом случае. Теперь буду ковыряться, где этот образ лежит.

HiJackThis новых строчек на виртуальный привод не находит. Кажется, вопрос решен, и я даже понял, как у меня эта дрянь работала. Никогда бы не подумал, что виртуальный DVD может быть опасным.

Большое спасибо! Вопрос можно считать решенным. Хотя этот образ диска я пока что не нашел...

Хорошо. В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Спасибо!

Загрузил SecurityCheck, запустил на всякий случай при выключенном антивирусе. А то он, как оказалось, очень нервный. Так что в логах указано, что антивирус не включен.

Обновления по NVIDIA GeForce Experience у 360 Total Security отмечены как совместимые, то есть сделанные не для моей видеокарты. Да, он и за драйверами тоже следит. Рисковать я не хочу.

Обновления по чипсету, AMD Software, я недавно качал по предложению 360 Total Security. Надо разобраться с версией.

Я не вижу смысла обновлять IrfanView, это программа далеко не критического уровня. Хотя она у меня главная по просмотру картинок. Работает, и прилично работает - зачем дергаться?

Обновление браузеров, кроме Mozilla Firefox, меня не интересуют, поскольку я ими не пользуюсь. Стоят в такой версии - ну и пусть стоят.

А на счет неподдерживаемой версии Windows я вполне в курсе.

Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Это желательно включить.
Так ли страшен контроль учетных записей (UAC)?

На заметку - Рекомендации после лечения.