Решена Словил странную программу, cpuz149

[terrarian_51]

Здравствуйте! Я столкнулся с неоднозначной ситуацией. Короче. Вчера утром поставил на ноутбук игру STALKER Lost Alpha DC отсюда Хттп://stalkermod.ru/Modyi-Lost-Alpha/lost-alpha-dc-1-4007-final.html.
Уже вечером заметил, что ПК, уже несколько часов находящийся в режиме ожидания, все еще выгоняет кулером горячий воздух из корпуса.

Я открыл Process Monitor для проверки и увидел, что постоянно идет вызов и работа двух процессов: Explorer.EXE и NVDisplay.Container.exe.
Недолго думая, полез в программу Autoruns из того же пака Sysinternals Suite, где ручками отключил подозрительный процесс под названием cpuz149.
Причем, согласно базе DrWeb, принадлежит он трояну Trojan.MulDrop11.19081. Вот только антивирусные пакеты ничего не нашли.

После отключения все пришло в норму. Ноутбук работает как и полагается. Не шумит, не греется.
В реестре у данного процесса следующий ImagePath: \??\C:\Windows\temp\cpuz149\cpuz149_x64.sys
Есть подпапка Enum с параметром Root\LEGACY_CPUZ149\0000.

Короче, все довольно забавно вышло. Пожалуйста, ребята, помогите очистить ПК от его "хвостов". Я знаю, вы можете
На компе стоит SSD, если это важно.
Логи прилагаю.

 

[akok]

Вот только антивирусные пакеты ничего не нашли.

В логах упоминается легитимная dll, вот и нет детекта

VirusTotal

VirusTotal

www.virustotal.com

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

>>>  "C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{B70113D1-4F41-4331-8FDE-48F1E3A72495}\PlayTasks\0\Играть.lnk"       -> ["C:\Programs\Steam\steamapps\common\Tomb Raider (IV) The Last Revelation\tomb4.exe"]
>>>  "C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{C1CE3F51-1579-4723-97A3-79F277512393}\PlayTasks\0\Играть.lnk"       -> ["C:\Programs\Steam\steamapps\common\Tomb Raider (V) Chronicles\PCTomb5.exe"]
>>>  "C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{84D90440-7821-46DE-9EF3-95AC69F5EAE8}\PlayTasks\0\Играть.lnk"       -> ["C:\Programs\Steam\steamapps\common\Tomb Raider (VI) The Angel of Darkness\Launcher.exe"]
>>>  "C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\MinGW Installation Manager.lnk"        -> ["C:\MinGW\libexec\mingw-get\guimain.exe"]
>>>  "C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{1F387E7E-215F-4630-A261-52E720638B18}\PlayTasks\0\Играть.lnk"       -> ["C:\Programs\Steam\steamapps\common\Tomb Raider (II)\Tomb2.exe"]
>>>  "C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{6F058829-B8F7-4F13-8D1E-732DBE2AB3E7}\PlayTasks\0\Играть.lnk"       -> ["C:\Programs\Steam\steamapps\common\TombRaider (III)\tomb3.exe"]
>>>  "C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{35F3A0EE-E481-4C56-B1CF-19E6D2EA6429}\PlayTasks\0\Играть.lnk"       -> ["C:\Games\Kasparov Chessmate\KasparovChess.exe"]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[terrarian_51]

Сканирование завершил, вот отчеты

 

[akok]

В логах чисто

Подготовьте лог лог SecurityCheck by glax24


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

[terrarian_51]

Программы завершили работу, высылаю логи, файлы карантина лежат здесь.

 

[akok]

Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64-bit (Remove or Repair) v.9.21a Внимание! Скачать обновления
WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.7.1 Внимание! Скачать обновления
Combined Community Codec Pack 2015-10-18 v.2015.10.19.0 Данная программа больше не поддерживается разработчиком.