Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   открывающиеся папки в Temp из-за LEAJ.exe (http://forum.oszone.net/showthread.php?t=354232)

Mikuare 17-09-2023 21:09 3016097

открывающиеся папки в Temp из-за LEAJ.exe
 
Вложений: 1
Здравствуйте!
По глупости 9.09 поймала leaj.exe, при запуске открывал папки и файлы из Local/Temp и, судя уведомлениям касперского, браузер самостоятельно пытался перейти по адресам сайтов, но потом перестал. Просканировала kaspersky и dr.Web CureIt, файл по расположению был удален, остались бесконечно новые процессы с автозагрузкой и открытие папок. Прошу помочь избавиться от этого.
Логи AutoLogger прикрепила.

Sandor 18-09-2023 08:35 3016120

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Цитата:

Web Companion
Пофиксите в HijackThis только следующие строчки:
Код:

O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\PC\AppData\Local\Temp\.ses (2023/09/09) (not signed)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\PC\AppData\Local\Temp\cv_debug.log (2023/09/17) (not signed)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\PC\AppData\Local\Temp\MicrosoftEdgeUpdate.log (2023/09/17) (not signed)
O4 - HKU\S-1-5-19\..\RunOnce: [Java] = C:\Java\lib\javaw.jar (file missing) (User 'Local service')
O4 - HKU\S-1-5-20\..\RunOnce: [Java] = C:\Java\lib\javaw.jar (file missing) (User 'Network service')
O4 - MountPoints2: HKCU\..\{70c4a3ac-e79a-11ed-a5d0-e848b8c82000}\shell\AutoRun\command: (default) = D:\WifiAutoInstallSetup.exe (file missing)
O4 - MountPoints2: HKCU\..\{70c4a3b6-e79a-11ed-a5d0-e848b8c82000}\shell\AutoRun\command: (default) = D:\WifiAutoInstallSetup.exe (file missing)
O4 - MountPoints2: HKCU\..\{70c4a3de-e79a-11ed-a5d0-e848b8c82000}\shell\AutoRun\command: (default) = D:\WifiAutoInstallSetup.exe (file missing)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\\edge_BITS_16876_359178785 (folder)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\\Low (folder)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\\mozilla-temp-files (folder)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\246d6815-b474-438e-ae4f-83f0cf4ef5ee.tmp (not signed)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\b09876dc-678f-4dd1-9eec-d3a81e779c73.tmp (not signed)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\dc75fa3b-0de9-4aa4-8854-681cd5623a0c.tmp (not signed)
O15 - Trusted Zone: http://webcompanion.com
O22 - Tasks: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask - C:\Windows\System32\RemoteFXvGPUDisablement.exe Disable (file missing)
O22 - Tasks: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask - C:\Windows\System32\RemoteFXvGPUDisablement.exe Warning (file missing)
O22 - Tasks: Oracle - C:/Java/lib/javaw.jar (file missing)
O22 - Tasks_Migrated: Oracle - C:/Java/lib/javaw.jar (file missing)

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Mikuare 18-09-2023 17:37 3016154

Вложений: 2
Здравствуйте!
Все сделано, отчеты прикрепляю.

Sandor 19-09-2023 08:08 3016212

Вложений: 1
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Скачайте и распакуйте вложенный архив. Поместите его рядом с файлом C:\Users\PC\Desktop\FRST64.exe
  • Отключите до перезагрузки антивирус.
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Mikuare 20-09-2023 01:00 3016319

Вложений: 1
Здравствуйте!

Архив лога прикрепила, открытие папок уже не происходит, еще что-то нужно будет сделать?

Sandor 20-09-2023 08:00 3016322

Да, еще один небольшой скрипт выполните в безопасном режиме, пожалуйста.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:

    Start::
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\PC\AppData\Local\Temp\files
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Mikuare 21-09-2023 03:47 3016395

Вложений: 1
Здравствуйте!

Сделала, лог прикрепила.
Все таки поспешила с выводом, сразу после работы предыдущего шага открытие прекратилось, сейчас появилось вновь.

Sandor 21-09-2023 08:16 3016397

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

Mikuare 22-09-2023 22:27 3016601

Вложений: 1
Результата скана прикрепляю.

Sandor 23-09-2023 12:37 3016633

Удалять ничего не нужно.

Цитата:

Цитата Mikuare
сейчас появилось вновь »

Покажите скриншот, пожалуйста.

Mikuare 23-09-2023 17:49 3016681

На 1 скриншоте какие папки и файлы открывает сразу после загрузки, на 2 содержание папки Local/Temp и автозагрузки. Открывает все, что может.
Появляются файлы с автозапуском, которых не было ранее, на 3 они без иконок.

Sandor 24-09-2023 10:22 3016717

Удалите старые и соберите новые логи FRST.txt и Addition.txt

Mikuare 25-09-2023 14:45 3016872

Вложений: 1
Прикрепляю

Sandor 25-09-2023 15:03 3016879

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:

    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2519805770-743617746-3109695811-1003\...\Run: [LEAJ] => C:\ProgramData\presepuesto\LEAJ.exe\presepuesto\LEAJ.exe (Нет файла)
    HKU\S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415\...\RunOnce: [Java] => C:\Java\lib\javaw.jar (Нет файла)
    Startup: C:\Users\PC\AppData\Local\Temp\\0AA05C94-E472-41F9-AA6A-11D6C41639DC []
    Startup: C:\Users\PC\AppData\Local\Temp\\A012.tmp [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
    Startup: C:\Users\PC\AppData\Local\Temp\\chrome_BITS_4544_1532478374 []
    Startup: C:\Users\PC\AppData\Local\Temp\\chrome_BITS_4544_2004283877 []
    Startup: C:\Users\PC\AppData\Local\Temp\\chrome_BITS_4544_69594440 []
    Startup: C:\Users\PC\AppData\Local\Temp\\chrome_installer.log [] () [Файл не подписан]
    Startup: C:\Users\PC\AppData\Local\Temp\\cv_debug.log [] () [Файл не подписан]
    Startup: C:\Users\PC\AppData\Local\Temp\\de70db254b5fc4cd97af6a8c2c733d5c-{87A94AB0-E370-4cde-98D3-ACC110C5967D} [] () [Файл не подписан]
    Startup: C:\Users\PC\AppData\Local\Temp\\E5F8.tmp [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
    Startup: C:\Users\PC\AppData\Local\Temp\\hsperfdata_PC []
    Startup: C:\Users\PC\AppData\Local\Temp\\mbam []
    Startup: C:\Users\PC\AppData\Local\Temp\\mbsetup.log [] () [Файл не подписан]
    Startup: C:\Users\PC\AppData\Local\Temp\\mozilla-temp-files []
    Startup: C:\Users\PC\AppData\Local\Temp\\notificationimages []
    Startup: C:\Users\PC\AppData\Local\Temp\\pip []
    Startup: C:\Users\PC\AppData\Local\Temp\\StructuredQuery.log [] () [Файл не подписан]
    Startup: C:\Users\PC\AppData\Local\Temp\\WinGet []
    HKU\S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2519805770-743617746-3109695811-1003\...\StartupApproved\Run: => "Web Companion"
    HKU\S-1-5-21-2519805770-743617746-3109695811-1003\...\StartupApproved\Run: => "LEAJ"
    FirewallRules: [TCP Query User{798F87BD-EF98-420E-AC85-EED935BEC99A}C:\users\pc\downloads\hidden\hidden.exe] => (Allow) C:\users\pc\downloads\hidden\hidden.exe => Нет файла
    FirewallRules: [UDP Query User{D84D7619-6CBD-4D8D-87B1-E27EA67CC54B}C:\users\pc\downloads\hidden\hidden.exe] => (Allow) C:\users\pc\downloads\hidden\hidden.exe => Нет файла
    FirewallRules: [{88D975D3-1619-4886-87DB-31693A43979D}] => (Block) C:\users\pc\downloads\hidden\hidden.exe => Нет файла
    FirewallRules: [{EAAC5402-650F-4588-8DEB-71AC1A8110C4}] => (Block) C:\users\pc\downloads\hidden\hidden.exe => Нет файла
    StartBatch:
     del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
     del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
     del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
     del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
     del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\utc50c59.default\cache2\*.*"
     del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\22kkeg8k.default-release\cache2\*.*"
    EndBatch:
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Mikuare 26-09-2023 01:03 3016928

Вложений: 1
Код запустила, но забыла отключить антивирус...
Но логи прикрепляю

Sandor 26-09-2023 08:08 3016933

Что сейчас с проблемой?

Для проверки уязвимых мест и устаревшего критического ПО:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Mikuare 26-09-2023 15:12 3016958

Вложений: 1
Лог проверки прикрепляю.

В HiJackThis удаляла из автозагрузок папки и файлы Local/Temp/... , но стоит в директории появиться чему-нибудь, оно автоматически появляется в автозагрузке. Мог ли быть модифицирован какой-то системный файл или это скорее отдельный файл-скрипт?

Sandor 26-09-2023 15:20 3016959

Давайте сделаем такую проверку.
Её отчёт упакуйте и прикрепите к следующему сообщению.

Mikuare 04-10-2023 22:42 3017514

Вложений: 1
Здравствуйте, проверяла два раза, оба раза все чисто, скрины с двумя ошибками в архиве.

Mikuare 04-10-2023 23:27 3017516

Кажется, я справилась с этим надоедливым открыванием папок и файлов!
В очередной раз залезла в HiJackThis и пофиксила в секции O7:
Код:

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Startup = C:\Users\PC\AppData\Local\Temp\
После двух перезагрузок ничего не открывалось, в автозагрузке новых процессов/файлов не обнаружила.

Sandor 05-10-2023 08:35 3017521

Цитата:

Цитата Mikuare
скрины с двумя ошибками в архиве »

Вместо скринов нужно было прислать отчёт как и написано в инструкции.
Раз всё получилось, повторять не нужно.

Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Mikuare 05-10-2023 10:38 3017525

Вложений: 1
Прикрепляю отчет

Sandor 05-10-2023 11:42 3017530

Исправьте по возможности:
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.5.3 Внимание! Скачать обновления
Python 2.7.18 (64-bit) v.2.7.18150 Внимание! Скачать обновления
Python 3.8.6 (64-bit) v.3.8.6150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
Far Manager 3 x64 v.3.0.5757 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9001 Внимание! Скачать обновления
Zoom v.5.14.11 (17466) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46206 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.16 Внимание! Скачать обновления

Читайте Рекомендации после лечения.


Время: 18:40.

Время: 18:40.
© OSzone.net 2001-