Решена Каждые 10 секунд фотографируется рабочий стол на Windows 10

[Erorr42]

Здравствуйте! Столкнулся с такой проблемой, нашел случайно скрытую папку, захожу туда, а там каждые 10 секунд фотографируется рабочий стол. Думал какая-то программа от системы, почитал в интернете, понял что только на Win11 есть она. Думаю, надо посидеть полечить пк с помощью антивирусных программ ( использовал UnHackMe, SpyHunter, KVRT и SUPERAntiSpyware Professional X). В SpyHynter нашел cryptowall ransomware и куки какой-то китайской штуки, вылечил, думал все пройдет. После перезапуска пк тоже самое в той же папке, в UnHackMe ничего критического не нашлось. В SUPERAntiSpyware Professional X нашлись куки - удалил их. В KVRT только GoodByeDPI признало нежелательным, думал из-за него, удалил перезапустил - ничего не помогло. Может кто-то сталкивался с этой проблемой? Можете помочь? При запуске SpyHunter вся эта тема прекращается. Прилагаю логи утилиты HiJackThis. Еще в папке был создан текстовый документ в котром находилось это "shell:recent".

 

[Sandor]

Здравствуйте!

Прочтите и выполните Правила оформления запроса о помощи
Новую тему создавать не нужно, продолжайте здесь.

 

[Sandor]

Определитесь, где будете продолжать - здесь или на кибер-форуме?
Одновременное лечение на разных ресурсах может вам же повредить и только запутает консультанта.

 

[Erorr42]

Определитесь, где будете продолжать - здесь или на кибер-форуме?
Одновременное лечение на разных ресурсах может вам же повредить и только запутает консультанта.

Здравствуйте, прикрепляю логи

 

[Sandor]

Вашу вторую тему на другом форуме закрываю?

 

[Erorr42]

Вашу вторую тему на другом форуме закрываю?

Да, буду благодарен

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour
IObit Uninstaller 12.3.0.9
SpyHunter
SUPERAntiSpyware
UnHackMe 16.40
Кнопки сервисов Яндекса на панели задач

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\router\svchost.exe', '');
 DeleteFile('C:\Windows\router\svchost.exe', '32');
 DeleteFile('C:\Windows\router\svchost.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hdscr', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hdscr', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


"Пофиксите" в HijackThis только следующие строки (некоторых может не быть):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O4 - HKCU\..\Run: [hdscr] = C:\Windows\router\svchost.exe (not signed - Microsoft Corporation - 4D38DA3747B204DB7613C85FEBE4934E55C1E072)
O4 - HKCU\..\Run: [SUPERAntiSpyware] = C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe (sign: 'RealDefense LLC')
O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: SpyHunter4Startup - C:\Program Files (x86)\SpyHunter\SpyHunter4.exe (invalid sign: TRUST_E_BAD_DIGEST - Enigma Software Group USA, LLC. - EAE33698604E30D6E78032D9CD1E4550AE42E1D9)
O22 - Tasks: SUPERAntiSpyware Scheduled Task 4e521018-3eaa-4ed9-9d4f-3376c4164cb7 - C:\Program Files\SUPERAntiSpyware\SASTask.exe "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" /TASK:4e521018-3eaa-4ed9-9d4f-3376c4164cb7 (sign: 'RealDefense, LLC')
O22 - Tasks: SUPERAntiSpyware Scheduled Task b0c7ce81-4186-4ea6-a479-e83f42c419b4 - C:\Program Files\SUPERAntiSpyware\SASTask.exe "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" /TASK:b0c7ce81-4186-4ea6-a479-e83f42c419b4 (sign: 'RealDefense, LLC')
O22 - Tasks: UnHackMe Task Scheduler - C:\Program Files (x86)\UnHackMe\hackmon.exe $(Arg0) (sign: 'Greatis Software LLC')
O22 - Tasks: Uninstaller_SkipUac_egorr - C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe /UninstallExplorer (not signed - IObit - 63B60E1B6D5A1AD587104B950D90226FF2E6D899)

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[Erorr42]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\router\svchost.exe', '');
 DeleteFile('C:\Windows\router\svchost.exe', '32');
 DeleteFile('C:\Windows\router\svchost.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hdscr', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hdscr', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


"Пофиксите" в HijackThis только следующие строки (некоторых может не быть):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O4 - HKCU\..\Run: [hdscr] = C:\Windows\router\svchost.exe (not signed - Microsoft Corporation - 4D38DA3747B204DB7613C85FEBE4934E55C1E072)
O4 - HKCU\..\Run: [SUPERAntiSpyware] = C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe (sign: 'RealDefense LLC')
O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: SpyHunter4Startup - C:\Program Files (x86)\SpyHunter\SpyHunter4.exe (invalid sign: TRUST_E_BAD_DIGEST - Enigma Software Group USA, LLC. - EAE33698604E30D6E78032D9CD1E4550AE42E1D9)
O22 - Tasks: SUPERAntiSpyware Scheduled Task 4e521018-3eaa-4ed9-9d4f-3376c4164cb7 - C:\Program Files\SUPERAntiSpyware\SASTask.exe "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" /TASK:4e521018-3eaa-4ed9-9d4f-3376c4164cb7 (sign: 'RealDefense, LLC')
O22 - Tasks: SUPERAntiSpyware Scheduled Task b0c7ce81-4186-4ea6-a479-e83f42c419b4 - C:\Program Files\SUPERAntiSpyware\SASTask.exe "C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" /TASK:b0c7ce81-4186-4ea6-a479-e83f42c419b4 (sign: 'RealDefense, LLC')
O22 - Tasks: UnHackMe Task Scheduler - C:\Program Files (x86)\UnHackMe\hackmon.exe $(Arg0) (sign: 'Greatis Software LLC')
O22 - Tasks: Uninstaller_SkipUac_egorr - C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe /UninstallExplorer (not signed - IObit - 63B60E1B6D5A1AD587104B950D90226FF2E6D899)

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

Сделал как Вы просили, прикрепляю логи и архив

 

[Sandor]

Карантин следовало отправить по инструкции.

Проблема ещё сохраняется?

Дополнительно сделайте следующее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Erorr42]

Карантин следовало отправить по инструкции.

Проблема ещё сохраняется?

Дополнительно сделайте следующее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Скриншотов больше не вижу после 2 перезапусков ПК , последний был в 11:57.
Стоит сейчас отправлять данный архив quarantine?

 

[Sandor]

Да, отправьте. И дополнительные логи тоже соберите.

 

[Erorr42]

Да, отправьте. И дополнительные логи тоже соберите.

Вот имя карантина.

 

[Erorr42]

Да, отправьте. И дополнительные логи тоже соберите.

И прикрепляю логи с программы.

 

[Sandor]

Тут тоже порядок.

В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Erorr42]

Тут тоже порядок.

В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Вот логи программы SecurityCheck.

 

[Sandor]

Исправьте по возможности:

Автоматическое обновление отключено
Oracle VM VirtualBox 7.0.14 v.7.0.14 Внимание! Скачать обновления
WinRAR 7.00 бета 3 64-разрядная v.7.00.3 Внимание! Скачать обновления
Discord v.1.0.9030 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.30767 Внимание! Скачать обновления
Zoom Workplace v.6.0.11 (39959) Внимание! Скачать обновления
µTorrent v.3.6.0.47132 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
Yandex v.24.7.2.1098 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner Professional Edition, версия 6.19.10858 v.6.19.10858 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

Программа, которую мы удалили, скорее всего попала в систему "в ручном режиме", а не через взлом или с помощью какой-либо вредоносной программы. Возможно установил тот, у кого был доступ к компьютеру и известен пароль администратора.

 

[Erorr42]

Исправьте по возможности:

Автоматическое обновление отключено
Oracle VM VirtualBox 7.0.14 v.7.0.14 Внимание! Скачать обновления
WinRAR 7.00 бета 3 64-разрядная v.7.00.3 Внимание! Скачать обновления
Discord v.1.0.9030 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.30767 Внимание! Скачать обновления
Zoom Workplace v.6.0.11 (39959) Внимание! Скачать обновления
µTorrent v.3.6.0.47132 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
Yandex v.24.7.2.1098 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner Professional Edition, версия 6.19.10858 v.6.19.10858 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

Программа, которую мы удалили, скорее всего попала в систему "в ручном режиме", а не через взлом или с помощью какой-либо вредоносной программы. Возможно установил тот, у кого был доступ к компьютеру и известен пароль администратора.

Хорошо, благодарю Вас за помощь! Эта вредоносная программа шпионская или просто для засорения места на диске?

 

[Sandor]

Просто для периодического создания скриншотов.
Впрочем, нередко злоумышленники используют легитимные программы для своих вредных целей.

 

[Erorr42]

Просто для периодического создания скриншотов.
Впрочем, нередко злоумышленники используют легитимные программы для своих вредных целей.

Фух, камень с души, еще раз спасибо! Буду обращаться к Вам еще, если что-то случится ( надеюсь этого никогда больше не произойдёт ). Хорошего Вам дня.

 

[Severnyj]

VirusTotal

VirusTotal

www.virustotal.com

Рекомендую сменить пароли