Решена Приветствую, обеспокоен возможными проблемами вредоносного ПО

[Endemic]

Сразу признаю, что я полнейший чайник в данной тематике, поэтому прошу людей кто более компетентен просмотреть логи с FRST и подсказать правдивы ли мои опасения, и как исправить их. Если же мои опасения напрасны, прошу прощения за то, что отниму ваше время...

 

[Sandor]

Здравствуйте!

А в чём именно выражаются внешне проблемы и ваши опасения?
Опишите подробнее своими словами (можно без терминов).

 

[Endemic]

Здравствуйте!

А в чём именно выражаются внешне проблемы и ваши опасения?
Опишите подробнее своими словами (можно без терминов).

Была проблема, что чем-то забивало оперативу, цп. При запуске нескольких программ дс, тг, стим и сверху всего запускалась игра, неважно требовательная или нет, происходил краш игры который тянул за собой игру и систему, что приходилось перезапускать компьютер. Но вроде как вчера потыкавшись в часто используемые способы проверки системы и если можно назвать починки, получилось решить своими силами. Файлики FRST прогнал через gpt на свой страх и риск он подсказал на что обратить внимание и что снести. При фиксе логи показали, что этих файлов и не было. Проще говоря, какой-то из способов реанимировал систему, но какой фиг его пойми.
Единственное с чем остались вопросики после gpt это:
C:\ProgramData\sldh.dat => "AlternateDataStreams: C:\ProgramData\sldh.dat:*" ADS невозможно удалить.
C:\Users\kot\AppData\Local => "AlternateDataStreams: C:\Users\kot\AppData\Local:bdgpd" ADS невозможно удалить.
C:\Users\kot\AppData\Roaming => "AlternateDataStreams: C:\Users\kot\AppData\Roaming:*" ADS невозможно удалить(Я только сейчас понял, что видимо он хотел мне снести полностью папку Roaming).

 

[Sandor]

Файлики FRST прогнал через gpt на свой страх и риск он подсказал на что обратить внимание и что снести

Я бы не стал так рисковать.

Давайте всё же начнём со стандартных логов - Правила оформления запроса о помощи

 

[Endemic]

Я бы не стал так рисковать.

Давайте всё же начнём со стандартных логов - Правила оформления запроса о помощи

как понимаю вы хотите просмотреть это

 

[akok]

В логах видны остатки майнера

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, My-Files.SU, MediaFire, Files.FM, Pixeldrain или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\StartupApproved\Run: [ActiveMatterLauncher] = D:\zavupa\ActiveMatter\launcher.exe (file missing) (2025/10/18)
O4 - HKCU\..\StartupApproved\Run: [AF_counter_2553920] = 1 (file missing) (2025/10/18)
O4 - HKCU\..\StartupApproved\Run: [AF_uuid_2553920] = 5d919e95-bdb2-48d7-88bf-7b42481b2529 (file missing) (2025/10/18)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Abelssoft (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Intel (empty)
O22 - Tasks: (damaged) Overwolf Updater Task - C:\Program Files (x86)\Common Files\Overwolf\OverwolfUpdater.exe /RunningFrom Schedule (user missing) (sign: 'Overwolf Ltd')
 Tasks: \Microsoft\Windows\WindowsBackup\MapInfo - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\ServiceControl - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\SupportSystem - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP.DESKTOP-KFQ2E5K
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP.DESKTOP-KFQ2E5K.000
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP.DESKTOP-KFQ2E5K.001
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP.DESKTOP-KFQ2E5K.002

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала[/UR

 

[Endemic]

virusinfo_auto_DESKTOP-KFQ2E5K.zip

drive.google.com

Вроде бы всё сделал следуя инструкциям

 

[Sandor]

Хорошо. Включите защиту от подделки по этой инструкции.

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[Endemic]

Скрин включённой защиты, чтобы мало-ли, если будут вопросы, то вы видели, что я её включил

 

[Sandor]

Хорошо.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-3322393421-4188869039-2022432077-1001\...\Run: [RiotClient] => D:\zavupa\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Нет файла)
  HKU\S-1-5-21-3322393421-4188869039-2022432077-1001\...\Run: [MicrosoftEdgeAutoLaunch_3D0CAB9FCBD4B5C8EBA90F00443BC840] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start [4265024 2025-10-17] (Microsoft Corporation -> Microsoft Corporation)
  HKU\S-1-5-21-3322393421-4188869039-2022432077-1001\...\MountPoints2: {f5e3a44f-65de-11ec-93d8-586c257fd6e9} - "E:\HiSuiteDownLoader.exe" 
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\kot\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm
  C:\Users\kot\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\leifkeoalnhcknnnejjddjppnolfieoi
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
  S3 GPUZ-v2; \??\C:\Users\kot\AppData\Local\Temp\GPUZ-v2.sys [X] <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Windows\tracing:? [16]
  AlternateDataStreams: C:\Users\kot:Heroes & Generals [38]
  AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc:169D67954B [4290]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [4290]
  AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [4290]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [4290]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [4290]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{1eb2dde9-1e3f-11ed-9410-586c257fd6e9}.TM.blf:8CDBA0D7E9 [4290]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{1eb2dde9-1e3f-11ed-9410-586c257fd6e9}.TMContainer00000000000000000001.regtrans-ms:E50FF106DE [4290]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{1eb2dde9-1e3f-11ed-9410-586c257fd6e9}.TMContainer00000000000000000002.regtrans-ms:9AA8D99D63 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GearUP Booster.lnk:08ECAD2408 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [4290]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [4290]
  AlternateDataStreams: C:\Users\kot\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\kot\Application Data:a6cf549bb252f806167490d37f7ac558 [394]
  AlternateDataStreams: C:\Users\kot\Application Data:d0353b486a0f166ba47ab293d0b1004e [394]
  AlternateDataStreams: C:\Users\kot\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
  AlternateDataStreams: C:\Users\kot\Application Data:fd585b8e864cc41e70aa800112186ec8 [394]
  AlternateDataStreams: C:\Users\kot\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\kot\AppData\Roaming:a6cf549bb252f806167490d37f7ac558 [394]
  AlternateDataStreams: C:\Users\kot\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394]
  AlternateDataStreams: C:\Users\kot\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
  AlternateDataStreams: C:\Users\kot\AppData\Roaming:fd585b8e864cc41e70aa800112186ec8 [394]
  AlternateDataStreams: C:\Users\kot\AppData\Local\Microsoft:ISBD [66]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Endemic]

вот это я понимаю, когда человек компетентный взялся за работу

вот это я понимаю, когда человек компетентный взялся за работу

и разложил всё по полочкам

 

[Sandor]

В смысле - в отличие от ИИ?

Если проблема решена, в завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Endemic]

В смысле - в отличие от ИИ?

В смысле - в отличии от меня (но шутка засчитана), который попытался сам решить возникшую проблемы с почти 0 базой знания. Случайно наткнувшийся на фрст думая, а чё там сложного погнали, открыв логи мягко говоря был удивлён, потом по каким-то, уже не помню каким, абсолютно случайным обстоятельствам мне запустило microsoft edge и выбило ваш форум увидел, что вы работает именно с этой утилкой. И понял что сюда нам надо, но решив не дожидаться вашего ответа, опрометчиво полез в гптшку, чтобы он логи считал и "решил" проблему, от части он что-то почистил, ну и чуть не снёс себе полностью Local и Roaming. На этом с мыслью и так сойдёт, думал проблема полностью решена. А эта паста написана, чтобы, если люди наткнуться на это, подумали несколько раз, а стоит ли так рисковать

ну и чуть не снёс себе полностью Local и Roaming.

на моменте когда мне павершел говорит, ну там дочерки вы точно их хотите удалить? меня посетили сомнения в правильности действий

 

[Sandor]

Исправьте по возможности:

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен контроль учетных записей (UAC)?

Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Malwarebytes version 4.6.17.334 v.4.6.17.334 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.4.8 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.104.0 Внимание! Скачать обновления
Npcap v.1.71 Внимание! Скачать обновления
Microsoft OneDrive v.25.179.0914.0003 Внимание! Скачать обновления
Recuva v.1.53 Внимание! Скачать обновления
WinRAR 6.11 (64-bit) v.6.11.0 Внимание! Скачать обновления
Discord v.1.0.9003 Внимание! Скачать обновления
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!
Spotify v.1.2.74.477.g3be53afe Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.1.102.55 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

---------------------------- [ UnwantedApps ] -----------------------------
GearUP Booster v.2.25.0.335 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Читайте Рекомендации после удаления вредоносного ПО

 

[Endemic]

Спасибо вам. Удачи и только успехов в вашем не самом простом деле!

 

[Sandor]

Спасибо! И вам удачи и не болеть!