Решена Нахватал вирусов из драйвер пака

[RuMax]

Установились разные программы, которые не удаляются и постоянно выходят в процессах.
Ноутбук стал тупить.
появились вредители типа Internet-Start.lnk, PC APP Store и т.д.
Во время запуска автологгера, ноут после выключения не загрузился, был черный экран. В итоге пришлось выключить и включить заново.

 

[Sandor]

Привет!

Дополнительно, пожалуйста:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[RuMax]

Вечер добрый!

Сделано

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-3226477667-3922914433-729246643-1001\...\Run: [ECMHelper] => ;C:\Program Files (x86)\  ࠭         \Agent.exe (Нет файла)
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Edge Extension: (Update Search Super) - C:\Users\1driv\AppData\Local\f5f1a\f5f1a9e3a6fe90f8e3a8939d5c40ba96 [2026-01-04] [UpdateUrl:0] <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [llcdellnofncikmhimjdbkdjgpmcjbik]
  CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{1C67DF85-7959-43C0-92F8-2CAD0314C31C}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.201.11\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{28A80003-18FD-411D-B0A3-3C81F618E22B}\InprocServer32 -> C:\Users\1driv\AppData\Local\Kingsoft\WPS Office\12.2.0.22549\office6\kwpsmenushellext64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{2B49DB21-41C5-44C0-8358-CA4C76205AE1}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.209.9\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{5247F326-2FF0-4920-998E-12AA35F0883C}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.213.7\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{6A49690B-7DB6-424B-81CE-F51078F2A58D}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.203.13\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{9C391760-8CB8-4F1E-AB7D-0C9915EFB004}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.211.7\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{A78355B5-2A4D-486B-B97A-43448FC8C34D}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.207.5\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{BB04C6F8-598E-4733-ABB4-07489C863436}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.205.9\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{D2188EEC-2B0F-488C-8ECA-5285E8ECD87D}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.69\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{D8599F80-3D26-46D2-8CF1-0AD21B0ECF31}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.195.65\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{ECCE2756-C45D-4E13-BC2D-EC9F138997E6}\InprocServer32 -> C:\Users\1driv\AppData\Local\Microsoft\EdgeUpdate\1.3.199.11\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-3226477667-3922914433-729246643-1001_Classes\CLSID\{F8686D90-7CB9-4D81-B596-69C3C408BA88}\InprocServer32 -> C:\Users\1driv\AppData\Roaming\Kingsoft\wps\addons\pool\win-i386\kmsosidebar_1.0.1.4\kmsosidebar64.dll => Нет файла
  ContextMenuHandlers1_S-1-5-21-3226477667-3922914433-729246643-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\1driv\AppData\Local\Kingsoft\WPS Office\12.2.0.22549\office6\kwpsmenushellext64.dll -> Нет файла
  ContextMenuHandlers4_S-1-5-21-3226477667-3922914433-729246643-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\1driv\AppData\Local\Kingsoft\WPS Office\12.2.0.22549\office6\kwpsmenushellext64.dll -> Нет файла
  Shortcut: C:\Users\1driv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iStripper\Деинсталлировать iStripper.lnk -> C:\Users\1driv\AppData\Local\vghd\bin\unins000.exe (Нет файла) <==== Cyrillic
  ShortcutWithArgument: C:\Users\1driv\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet-Start.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /c start hxxp://internet-start.net/?utm_source=beatle^&utm_medium=icon^&utm_campaign=pin
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

По поводу

появились вредители типа Internet-Start.lnk, PC APP Store и т.д.

Насколько я вижу, это ярлыки рекламные, их можно удалить.


+++

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[RuMax]

Не могу скачать адвклинер. И вообще на сайте мало что открывается, если что то качать пытаешься, с трудом скачал автологгер.

С интернетом проблемы стали, думаю из-за вирусов. Рекламные ярлыки не удаляются, они защищены.

Фикслог приложил

 

[RuMax]

Во время работы клинера малваре написал о предустановленных программах, я не внимательно посмотрел и попытался отправить в карантин то, что на скриншоте и программу на другой странице связанную с поддержкой HP, вышел синий экран, оповещающий о том, что произошла ошибка, собираем инфу и тд. Перезагрузился

 

[akok]

Не могу скачать адвклинер.

скорее из-за санкций. Осталось удалить только ярлык, я его пропустил в прошлый раз.
PUP.Optional.PCAppStore C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk

В остальном не вижу к чему придраться.

 

[RuMax]

скорее из-за санкций. Осталось удалить только ярлык, я его пропустил в прошлый раз.
PUP.Optional.PCAppStore C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk

В остальном не вижу к чему придраться.

Ярлык удалил, но при запуске ноута все так же выходит на весь рабочий стол запуск PC APP Store

 

[Sandor]

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[RuMax]

Какие-то странности происходят. Первый раз когда скачивал фрст было все норм, сейчас я его скачал снова нормально, запустил, он сделала логи, но я их удалил, так как выгрузил из процессов до этого все что свзано с PC App Store, перезагрузил комп, PC App Store вылез, я не стал выгружать из процессов, чтобы FRST видел все это дело. И после этого при запуске FRST и попытке его обновления, выходит оповещение. Скриншот. Далее фрст иконка превращается в неактивную как-бы, как на другом скриншоте

 

[Sandor]

Скачайте заново с зеркала, вчера было очередное обновление.

 

[RuMax]

Проблема решилась. Скачивание с зеркала давало такой результат. СЕйчас скачал по прямой ссылке через ВПН и логи норм сделались. Без ВПН скачать не удается FRST по прямой ссылке

 

[Sandor]

перезагрузил комп, PC App Store вылез

Странно, в логах этого не видно.

Среди установленных программ сомнительно выглядят:

Chrone Browser
DAEMON Tools Lite (десятка умеет монтировать образы без дополнительных программ)
Firefox Browser (HKLM-x32\...\Firefox Browser) (Version: 94.0.2 - iStart)

Деинсталлируйте их, хотя бы на время поиска проблемы.

 

[RuMax]

Странно, в логах этого не видно.

Среди установленных программ сомнительно выглядят:

Деинсталлируйте их, хотя бы на время поиска проблемы.

Хитрый файл какой-то

Смысла нет их удалять, PC появился недавно, а даймон и фаерфокс давно стоят уже. PC появился после установки драйверпака. Это я точно знаю, там галоку ставил на установку доп ПО, потому что без него не хотел работать полноценно

В программах установленных PC и не отображался никогда

 

[Sandor]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

 

[RuMax]

Пока делаю, вот так еще антивирус ругается. Кажется это и есть тот драйверпак.
1 скриншот ругается антивирус, 2 скриншот это когда пытаешься устранить угрозу, антивирус пишет ошибку, не может его удалить.

П.С.:
Скриншоты в предпросмотре отображаются в одном порядке, а когда публикуешь - меняются местами. Не удобно

 

[Sandor]

Вряд ли это оно. Файл в загрузках и скорее всего некий бандл, на который и реагирует Антивирус.
Его, кстати, желательно на время сбора логов отключать.

 

[RuMax]

Лог uvs прикрепляю, а лог от AutorunsVTchecker не нужен?

Ниже скриншоты еще как раз этих PC и снаппи-драйвера

Его, кстати, желательно на время сбора логов отключать.

Вручную разрешения давал)

Снаппи драйвер тоже вредитель.Его удалить нельзя. При попытке удалить из скачанных файлов пишет ошибку как на скриншоте самом последнем. В инете сначала лазил пытался решить эту ошибку, но ни один совет не помогал, там тоже защита везде от входа в него

 

[Sandor]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   OFFSGNSAVE
   zoo G:\ZAGRUZKI\YANDEX\SNAPPY-DRIVER.EXE
   ;---------command-block---------
   unload %SystemDrive%\PROGRAM FILES (X86)\PCAPPSTORE\PCAPPSTORESRV.EXE
   delall G:\ZAGRUZKI\YANDEX\SNAPPY-DRIVER.EXE
   apply
   
   zoo %SystemDrive%\PROGRAM FILES (X86)\PCAPPSTORE\PCAPPSTORESRV.EXE
   addsgn BA6F9BB2BD114B720B9C2D754C2160FBDA75303AC179F350C8488484185DBB05A8C62B5A3E559DF12A80849F0E958DD2BE1324BE1589F5A7353F2FF58685C18B 8 PUP PC_App_Store 7
   
   zoo %Sys32%\UNREGMP2.EXE
   addsgn BA6F9BB2BD114B720B9C2D754C211405258A303A4536D3B4CD4A9998589EF8300707820176D471F92B80841C223269FA3552A4561525A5E19A77A4BFA24EA977 8 PUP PC_App_Store 7
   
   chklst
   delvir
   
   czoo
   regt 39
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер будет перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 20 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

После перезагрузки системы:

Добавьте файл дата_время_log.txt из папки откуда запускали uVS.

Соберите новый контрольный образ автозапуска uVS (AutorunsVTChecker уже запускать не нужно).

 

[RuMax]

Zoo отправил на почту, т.к. весит 23 мб.
Логи прикрепил