Решена Подгружаются черные окошки, почти не заметно

[rainbled]

Здравствуйте, ваш постоянный клиент, спустя долгое время к сожалению, к вам вернулся Проблема такая, компьютер делю с младшим братом, он любитель поскачивать игры и всякие читы откуда попало. Стал замечать подвисания пк, быстрые появляюшиеся черные окошечки поверх например браузера, когда серфишь, подвисания и потери пакетов в играх. Антивирус не стоит, так как сам я серфить умею. Чистил несколько раз Dr.web cureIt, находил трояны, вроде лечил, но через время они же опять ним и находились. Подозреваю, что что-то серьезное у меян сидит, помогите пожалуйста.

 

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

VideoAdsBlocker
Кнопки сервисов Яндекса на панели задач

Что не сможете удалить стандартно, удалите принудительно через Geek Uninstaller

Далее:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\wproxy\winproxy\winproxy.exe');
 QuarantineFile('C:\Program Files (x86)\SdcQGEiRtaLRC\zkALnCn.dll', '');
 QuarantineFile('C:\Program Files (x86)\TlRaqrOeJJnzNkkpFyR\DCOfaxx.dll', '');
 QuarantineFile('C:\Program Files (x86)\YIIuvUMxU\dDztNI.dll', '');
 QuarantineFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 QuarantineFile('C:\ProgramData\deceive-announce\bin.exe', '');
 QuarantineFile('C:\Users\Vasilii\AppData\Local\Programs\1c490f\73e24f55ea.msi', '');
 DeleteSchedulerTask('HAGGvynWfCuXpZR2');
 DeleteSchedulerTask('kGiXSFXiBPweiegkg2');
 DeleteSchedulerTask('QlVkxqGZSFuxhiIVxdh2');
 DeleteSchedulerTask('webstickies-S-1-5-21-3321143920-3315953749-2585833031-1001');
 DeleteSchedulerTask('WProxy\WinProxy');
 DeleteFile('C:\Program Files (x86)\SdcQGEiRtaLRC\zkALnCn.dll', '64');
 DeleteFile('C:\Program Files (x86)\TlRaqrOeJJnzNkkpFyR\DCOfaxx.dll', '64');
 DeleteFile('C:\Program Files (x86)\YIIuvUMxU\dDztNI.dll', '64');
 DeleteFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 DeleteFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '64');
 DeleteFile('C:\ProgramData\deceive-announce\bin.exe', '64');
 DeleteFile('C:\Users\Vasilii\AppData\Local\Programs\1c490f\73e24f55ea.msi', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[rainbled]

Выполнено.

 

[Sandor]

Хорошо. Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[rainbled]

Я что-то поторопился и запустил программу с загрузок, вместо рабочего стола, переделать? никак не повлияет?

 

[rainbled]

Вот с рабочего.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
  Edge DefaultSearchKeyword: Default -> x-finder.pro
  Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
  C:\Users\Vasilii\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
  C:\Users\Vasilii\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=812204","hxxps://mail.ru/cnt/10445?gp=811570","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://find-it.pro/?utm_source=distr_m"
  CHR DefaultSearchKeyword: Guest Profile -> cdn
  C:\Users\Vasilii\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR DefaultSearchKeyword: Profile 1 -> cdn
  C:\Users\Vasilii\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR DefaultSearchKeyword: System Profile -> cdn
  C:\Users\Vasilii\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR HKU\S-1-5-21-3321143920-3315953749-2585833031-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bieffgacahgffgjoehgamaomcpcelmfb]
  CHR HKU\S-1-5-21-3321143920-3315953749-2585833031-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  C:\Users\Vasilii\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
  FCheck: C:\Windows\SysWOW64\version_IObitDel.dll [2023-03-12] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [2594]
  AlternateDataStreams: C:\ProgramData\droidcam-client-options-v2:8329C6407A [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc:169D67954B [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SumatraPDF.lnk:5D587C99F4 [2594]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8690]
  AlternateDataStreams: C:\Users\Vasilii\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Vasilii\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{49A83A91-B068-4AD2-AA4D-5F8EFA2E6250}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
  FirewallRules: [{2510F859-9574-4FE0-9352-873C3D523BFE}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[rainbled]

Готово.

 

[Sandor]

Как сейчас ведёт себя система?

 

[rainbled]

Извиняюсь за долгий ответ, нужно было отлучиться.
Да вроде пока все стабильно! А что-то вообще было обнаружено нехорошее? я вообще подозревал даже майнеров, а то вроде эта холера многих пугает... ) Ну окошки вроде пока не вылазили и лагов меньше

 

[Sandor]

Да, был майнер и рекламные настройки в Хроме.

В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[rainbled]

Готово.

 

[Sandor]

Исправьте по возможности:

Notepad++ (64-bit x64) v.8.4.1 Внимание! Скачать обновления
SumatraPDF v.3.3 Внимание! Скачать обновления
LibreOffice 7.1.4.2 v.7.1.4.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
IrfanView 4.58 v.4.58 Внимание! Скачать обновления
Discord v.1.0.9012 Внимание! Скачать обновления
µTorrent v.3.6.0.46884 Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent v.4.5.4 Внимание! Скачать обновления
Java 8 Update 361 (64-bit) v.8.0.3610.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^
K-Lite Mega Codec Pack 16.3.0 v.16.3.0 Внимание! Скачать обновления
Opera Stable 108.0.5067.40 v.108.0.5067.40 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Yandex v.24.1.5.803 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.124.0.6367.62 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.124.0.2478.51

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.23 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Антивирус не стоит, так как сам я серфить умею.

Так поставьте
Можно и бесплатный.

Читайте Рекомендации после удаления вредоносного ПО

 

[rainbled]

Спасибо доктор! Да пребудет с вами сила)
И последнйи вопрос, а чем можно заменить CCleaner? А то его у нас вроде как запретили и теперь я ознакомился с политикой виндовс, и понял, что чистить реестр плохо получается, просто он вроде неплохо систему очищал именно от временных файлов и т.п. мусора.
Malwarebytes Anti-Malware можно ставить с еще одним? Я вот например захотел Dr.Web, не будут они конфликтовать

 

[Sandor]

В системе очень давно существует собственный инструмент "Очистка диска" (в командной строке - cleanmgr
Он корректно чистит то, что можно очистить.

Два сторонних антивируса ставить нежелательно. Защитник Windows уже встроен в систему.

 

[rainbled]

Все понял. На этом мои вопросы исчерпаны, благодарю еще раз, успехов вам!