Решена Defender ругается на PUABundler:Win32/uTorrent_BundleInstaller

[ㅐα与니]

Помогите удалить пожалуйста. Утилита видеокарты AMD не запускается. Уже все антивирусы перепробовал. Никто не видит. А Defender не удаляет.

 

[akok]

На какой торрент клиент ругается? А что с касперским?
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O7 - KnownFolder:  (folder missing)
O7 - KnownFolder: C:\Users\Victo\Desktop (folder missing)
O7 - KnownFolder: C:\Users\Victo\Pictures (folder missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayExcluded: (no name) - {4433A54A-1AC8-432F-90FC-85F045CF383C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayPending: (no name) - {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayProtected: (no name) - {476D0EA3-80F9-48B5-B70B-05E677C9C148} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayExcluded: (no name) - {4433A54A-1AC8-432F-90FC-85F045CF383C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayPending: (no name) - {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayProtected: (no name) - {476D0EA3-80F9-48B5-B70B-05E677C9C148} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\NCH Software (empty)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[ㅐα与니]

Вот в Defender пишет - file: D:\Chrom Downloads\BitTorrent.exe
Но этого файла там даже в скрытых не видно.

Касперский был вторым после Др. Веба. Еще были Комодо Есет32. KVRT.. Это все я с утра устанавливал и сканировал. Вообще у меня Malwarebytes изначально официально приобретен.

 

[Sandor]

@ㅐα与니, у вас дублирующая тема на Кибер-форуме. Где планируете продолжать?

 

[ㅐα与니]

Там мне ответили, что я сам виноват и на этот детект в данном конкретном случае можно внимания не обращать. И на этом все закончилось. Ответили не вы @Sandor , а кто-то другой. Продолжу здесь.

 

[thyrex]

кто-то другой

а защитного ПО стало еще больше

AV: Malwarebytes (Disabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
AV: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: COMODO Antivirus (Disabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Norton 360 for Gamers (Enabled - Out of date) {AECE2126-F4E7-6909-11F2-1B69D1FBCBD0}
FW: Norton 360 for Gamers (Enabled) {96F5A003-BE88-6851-3AAD-B25C2F288CAB}
FW: Kaspersky (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}

Я написал все, как есть. Кроме всего прочего, помощь оказывается добровольно в свободное от основных занятий время.

На сим умолкаю.

 

[ㅐα与니]

а защитного ПО стало еще больше

Не стало больше. Они устанавливались по очереди и удалялись. Сейчас только Касперский и Malwarebytes. Касперского тоже удалю. И если не обращать внимания на этот детект, у меня приложение видеокарты не запускается. Это пока то что заметно. Вчера отчет еще в Блокноте .txt у какого то сканера не открывался. Блокнот зависал. Но все остальные .txt открывались. А на отчете сканера 3 раза подряд завис.

 

[thyrex]

Не стало больше. Они устанавливались по очереди и удалялись

Откройте отчет FRST.txt и там увидите следы еще большего количества антивирусных решений.

То, что обнаружил Защитник: из его отчета

Серьезность: Низкий

+ никак не может повлиять на запуск приложения для видеокарты и появление проблем с открытием тестовых файлов..

И из лога системных ошибок

Error: (08/03/2024 09:59:50 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Сбой при запуске службы "AMDRyzenMasterDriverV26" из-за ошибки
Не удается найти указанный файл.

Error: (08/03/2024 09:59:50 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Сбой при запуске службы "AMDRyzenMasterDriverV26" из-за ошибки
Не удается найти указанный файл.

Error: (08/03/2024 09:59:31 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Сбой при запуске службы "AMDRyzenMasterDriverV26" из-за ошибки
Не удается найти указанный файл.

 

[ㅐα与니]

Все я потом переустановлю. Сейчас нет смысла. Это случилось одновременно. Пропал значок амд в трее и на защитнике желтая точка появилась. Торрент установлен полгода уже, а амд пропал позавчера. Перед переустановкой драйверов мне нужно убрать вот это - Utorrent_BundleInstaller.

​

 

[akok]

Добавьте в список игнорирования. По поводу AMD, переустанавливайте софт, а по поводу старых установок, то можно воспользоваться

Antivirus Removal Tool

Antivirus Removal Tool (freeware) is a portable program to detect and completely remove antivirus software. It will help you to identify current and past installations, and it will provide you with the official specialized uninstallers. These are designed by the manufacturers of the antivirus...

antivirus-removal-tool.com

 

[ㅐα与니]

Добавьте в список игнорирования.

Убрать это вы не поможете?
Удалил все антивирусы кроме того который всегда был. Сделал новые логи на всякий случай.

 

[Sandor]

По поводу AMD, переустанавливайте софт

Переустановили?

Соберите новые логи FRST.txt и Addition.txt

 

[ㅐα与니]

Переустановили?

Да. Но в трее пришлось в ручную значок включать в приложении. Я его не отключал там раньше. Он сам почему то пропал. Но возможно это просто АМД) Там даже профили пользовательские по разгону и андервольту слетают на по умолчанию. Видимо по старым настройкам установилось. Но значок включил и он не пропадает. Но все равно не то по ощущениям. Антивируса значок и АМД как то не сразу появляются, а спустя секунд 10-20. Такого не было. Комп с ссд и грузилось все моментально. Значки все появлялись вместе с рабочим столом.

 

[ㅐα与니]

Нашел в антивирусе в защищенных приложениях cyberfox.exe.. Такого браузера точно не устанавливалось. Но галочки у него не было. Да и вообще откуда весь этот список. Возможно сам антивирус если только..

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {B11401B8-AA11-485A-A839-8CC7012A9998} - System32\Tasks\cFos\Registration Tasks\Open Browser => c:\program files\google\chrome\application\chrome.exe [2547816 2024-07-30] (Google LLC -> Google LLC) -> "hxxps://www.cfos.de/ru/cfosspeed/documentation/status.htm?reg-12.00.2512-gigabyte"
  ProxyServer: [S-1-5-21-332323282-2634971041-2795208541-1001] => 45.4.198.216:8000
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp]
  R1 cFosSpeed; C:\Windows\system32\DRIVERS\cfosspeed6.sys [1694504 2021-06-15] (cFos Software GmbH -> cFos Software GmbH)
  S3 SymEvnt; \??\C:\Program Files\Norton Security\NortonData\22.22.4.13\SymPlatform\SymEvnt.sys [X]
  2024-08-03 20:06 - 2024-08-03 20:06 - 000000000 ____D C:\ProgramData\GridinSoft
  2024-08-03 21:58 - 2024-08-03 21:58 - 000000000 _____ C:\Windows\system32\Tasks\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}
  AV: COMODO Antivirus (Disabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
  AV: Norton 360 for Gamers (Enabled - Out of date) {AECE2126-F4E7-6909-11F2-1B69D1FBCBD0}
  FW: Norton 360 for Gamers (Enabled) {96F5A003-BE88-6851-3AAD-B25C2F288CAB}
  FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
  AlternateDataStreams: C:\Users\Victo\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Victo\OneDrive\Рабочий стол\adwcleaner.exe:MBAM.Zone.Identifier [141]
  AlternateDataStreams: C:\Users\Victo\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{95B42834-5471-4522-92CF-CA701E8540B6}] => (Allow) LPort=9009
  FirewallRules: [{0CD2E98F-178B-4A78-B2E5-BFCF305E2448}] => (Allow) LPort=9009
  FirewallRules: [{648B137D-7655-494C-AD78-A2DBBF4DBECC}] => (Allow) LPort=9009
  FirewallRules: [{9456B704-77D9-4343-9142-35CE3590FC42}] => (Allow) LPort=9009
  FirewallRules: [{7216F26B-CA7A-4EEF-AE89-5F41039E0628}] => (Allow) LPort=9009
  FirewallRules: [{5E68C447-15C7-4273-8143-5928D4A83EDA}] => (Allow) LPort=9009
  FirewallRules: [{E93A165D-6FA6-4695-B2DE-075B46568B8A}] => (Allow) LPort=9009
  FirewallRules: [{CC81D433-005C-4AE7-A674-ECCF2627A4E0}] => (Allow) LPort=9009
  FirewallRules: [{5C39FE68-A277-4E77-B1A9-A893752E8CBE}] => (Allow) LPort=9009
  FirewallRules: [{D002B848-E19A-4D88-8018-43010BDF7A44}] => (Allow) LPort=9009
  FirewallRules: [{29BAEED0-6D07-4DFC-A46E-5B8432F0B7B2}] => (Allow) LPort=9009
  FirewallRules: [{EA39A21A-3DF3-49BC-8A87-93FEF37E3B7C}] => (Allow) LPort=9009
  FirewallRules: [{91A3EDBA-CA67-40C9-8B05-647BB53E6627}] => (Allow) LPort=31302
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[ㅐα与니]

Сделал. Пока без изменений.

 

[Sandor]

Что именно без изменений? То, что Защитник показывает обнаружение?

 

[ㅐα与니]

Что именно без изменений? То, что Защитник показывает обнаружение?

да

 

[Sandor]

Выполните такой скрипт:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  StartPowershell:
  Set-MpPreference -DisableAutoExclusions $true -Force
  Set-MpPreference -Mapsreporting basic -Force
  Set-MpPreference -DisableRealtimeMonitoring $false -Force
  Set-MpPreference -DisablePrivacyMode $true -Force
  Set-MpPreference -DisableIOAVProtection $false -Force
  Set-MpPreference -UILockdown 0
  Set-MpPreference -ScanPurgeItemsAfterDelay 1
  Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
  Set-MpPreference -PUAProtection enabled -Force
  Update-MpSignature
  Get-MpComputerStatus
  Get-MpPreference
  EndPowershell:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[ㅐα与니]

Вот.