Решена Проверка на вирусы

Mik · 10 Окт 2025

Здравствуйте!
Прошу помочь проверить пк на вирусы. Хочу успокоить своего внутреннего параноика)
Предыстория: с неустановленной периодичностью стал срабатывать автомат отвечающий за розетки. Методом исключения виновником торжества была определена моя рабочая станция.
Пытался спровоцировать перегрузку сети для подтверждения, нагружал комп "волосатым бубликом" и OCCT, но без результатно, автомат срабатывал только тогда, когда меня не было дома.
Поломка компьютера исключена: рабочая станция подключена к ИБП и при срабатывании автомата комп продолжает работать до полной разрядки батареи. В журнале системы ничего подозрительного нет (на мой взляд).
Сегодня, во время работы, подключился к домашней станции через удалённый рабочий стол и обнаружил аномальную нагрузку на ОЗУ, 94%, которая буквально через пару секунд упала до 50%. А у меня на минуточку 32 Гб...
Компьютер в тот момент был максимум загружен только 25 открытыми вкладками хрома и блокнотом, ничего не могло так в моменте загрузить 16 Гб.
Помогите пожалуйста опровергнуть, что компьютер заражен, или помогите его вылечить. А я пока пойду договариваться с электриком пока моя проводка не сгорела окончательно)

Sandor · 10 Окт 2025

Здравствуйте!

1. Не нужно перепаковывать логи, если об этом не сказано прямо.
2. Явных признаков заражения пока не видно.
3. Сделайте дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

4. Создайте параллельно тему в системном разделе, указав там ссылку на текущую тему.

Mik · 10 Окт 2025

Ну и слава богу, значит проблема скорее всего в проводке.

Sandor написал(а):
Создайте параллельно тему в системном разделе

Вроде это не совсем системная проблема...
Но сейчас создам)

Mik · 17 Окт 2025

@Sandor
Из-за отката форума наша переписка немного стерлась...
Сделал очистку, логи получил.
Получается я чист?

Sandor · 18 Окт 2025

Получается так.

Проделайте завершающие (по нашей части) шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Mik · 20 Окт 2025

Так, обнаружил две аномалии.

Включена учетка гостя. Сам ее не включал. Отключил.
Браузерами управляет некая организация. Может это работа Spybot Anti-Beacon но я не уверен.

Sandor · 20 Окт 2025

Удалите старые и соберите новые логи FRST.txt и Addition.txt

Mik · 20 Окт 2025

Пожалуйста

akok · 20 Окт 2025

Может это работа Spybot Anti-Beacon но я не уверен.

некоторые активности от него заметны, но не уверен

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\antibeacon.js [2025-10-19] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
FF ExtraCheck: C:\Program Files\mozilla firefox\mozilla.cfg [2025-10-19] <==== ВНИМАНИЕ
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

И проведите, полное сканирование https://safezone.cc/resources/dr-web-cureit-dlya-doma.280/

Mik · 21 Окт 2025

Выполнил скрипт (fixlog-1.txt), потом отключил автозапуск Spybot Anti-Beacon и попробовал снова (fixlog.txt).
Браузеры остались под управлением организации.
Update: Вру, в firefox надпись об организации пропала. А в Edge не захожу из-за принципов: бесят его не сворачиваемые полноэкранные окна при его первых запусках :Bad:

+ много еще чего

Sandor · 21 Окт 2025

Давайте уточним - эта надпись существует во всех трёх браузерах, Chrome, FF и Edge?

Mik написал(а):
отключил автозапуск Spybot Anti-Beacon

Временно деинсталлируйте его вообще.

Mik · 21 Окт 2025

Удалил и снова выполнил скрипт два раза (первый fixlog-1 (2).txt) так как забыл отключить Касперский.
Edge - контролируется организацией
Chrome - контролируется организацией
Firefox - нет

Sandor · 21 Окт 2025

Нет, лишний раз выполнять скрипт не нужно.

Попробуйте сделать сброс параметров браузеров. Если какая из инструкций устарела, погуглите.

Mik · 22 Окт 2025

Сбросил настройки Edge и Chrome, не помогло.
Так же обнаружил, что комп не видит внешние устройства в режиме расширенных параметров запуска: ни мышь ни клава не работают

Sandor · 22 Окт 2025

Попробуем так:

Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.

Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C: будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.

Про внешние устройства позже.

Перезагрузите компьютер и ещё раз соберите новые логи FRST.txt и Addtition.txt

akok · 22 Окт 2025

В winre? Это норма, MS поломали usb в этом режиме. Вчера выпускали срочный патч.

Mik · 22 Окт 2025

akok написал(а):
В winre?

Да, проблема была с перефирией была в нем.

akok написал(а):
MS поломали usb в этом режиме.

Я не удивлен)

Sandor написал(а):
Скачайте утилиту DoesNotBelong

Все получилось, надписи пропали.
Но во время работы FRST случился BSOD, SYSTEM_SERVICE_EXCEPTION, драйвер tcpip.sys. Есть минидамп.
После перезагрузки FRST отработал штатно.

Sandor · 22 Окт 2025

Отлично!
Ещё один небольшой скрипт выполните:

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Task: {D6B411BD-06C2-42BA-9745-45CFD312FECF} - \Ubisoft\Ubisoft Connect Background Update -> Нет файла <==== ВНИМАНИЕ
S2 SpybotAntiBeaconInterceptor; C:\Program Files (x86)\Safer-Networking Ltd\Spybot Anti-Beacon\x64\Spybot3AntiBeaconService.exe --run [X]
FirewallRules: [{A335C478-E825-4565-932E-CCDAE2B95DA8}] => (Allow) LPort=32683
FirewallRules: [{F5288648-DB71-479A-8321-B5B0415942AA}] => (Allow) LPort=33683
FirewallRules: [{90675944-950B-433F-B7E9-DDCB544E5E1C}] => (Allow) LPort=26822
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Mik · 22 Окт 2025

Sandor написал(а):
S2 SpybotAntiBeaconInterceptor; C:\Program Files (x86)\Safer-Networking Ltd\Spybot Anti-Beacon\x64\Spybot3AntiBeaconService.exe --run

Прошу прощения, но тут нет ошибки? Я же деинсталировал Spybot Anti-Beacon и по этому пути файла нет.
Есть только C:\Program Files (x86)\Safer-Networking Ltd\Spybot Anti-Beacon\Spybot3AntiBeacon.exe

Sandor · 22 Окт 2025

Ошибки нет. Это не файл, а ссылка на службу, так что выполняйте смело.

Решена Проверка на вирусы

Переводчик Google

Mik

Новый пользователь

Вложения

Sandor

Mik

Новый пользователь

Вложения

Mik

Новый пользователь

Вложения

Sandor

Mik

Новый пользователь

Вложения

Sandor

Mik

Новый пользователь

Вложения

akok

Mik

Новый пользователь

Вложения

Sandor

Mik

Новый пользователь

Вложения

Sandor

Mik

Новый пользователь

Sandor

akok

Mik

Новый пользователь

Вложения

Sandor

Mik

Новый пользователь

Sandor