открывающиеся папки в Temp из-за LEAJ.exe

Mikuare · Отправлено: **17:49, 23-09-2023** | #11

На 1 скриншоте какие папки и файлы открывает сразу после загрузки, на 2 содержание папки Local/Temp и автозагрузки. Открывает все, что может.
Появляются файлы с автозапуском, которых не было ранее, на 3 они без иконок.

Sandor · Отправлено: **10:22, 24-09-2023** | #12

Удалите старые и соберите новые логи FRST.txt и Addition.txt

Mikuare · Отправлено: **14:45, 25-09-2023** | #13

Прикрепляю

Sandor · Отправлено: **15:03, 25-09-2023** | #14

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2519805770-743617746-3109695811-1003\...\Run: [LEAJ] => C:\ProgramData\presepuesto\LEAJ.exe\presepuesto\LEAJ.exe (Нет файла)
HKU\S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415\...\RunOnce: [Java] => C:\Java\lib\javaw.jar (Нет файла)
Startup: C:\Users\PC\AppData\Local\Temp\\0AA05C94-E472-41F9-AA6A-11D6C41639DC []
Startup: C:\Users\PC\AppData\Local\Temp\\A012.tmp [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
Startup: C:\Users\PC\AppData\Local\Temp\\chrome_BITS_4544_1532478374 []
Startup: C:\Users\PC\AppData\Local\Temp\\chrome_BITS_4544_2004283877 []
Startup: C:\Users\PC\AppData\Local\Temp\\chrome_BITS_4544_69594440 []
Startup: C:\Users\PC\AppData\Local\Temp\\chrome_installer.log [] () [Файл не подписан]
Startup: C:\Users\PC\AppData\Local\Temp\\cv_debug.log [] () [Файл не подписан]
Startup: C:\Users\PC\AppData\Local\Temp\\de70db254b5fc4cd97af6a8c2c733d5c-{87A94AB0-E370-4cde-98D3-ACC110C5967D} [] () [Файл не подписан]
Startup: C:\Users\PC\AppData\Local\Temp\\E5F8.tmp [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
Startup: C:\Users\PC\AppData\Local\Temp\\hsperfdata_PC []
Startup: C:\Users\PC\AppData\Local\Temp\\mbam []
Startup: C:\Users\PC\AppData\Local\Temp\\mbsetup.log [] () [Файл не подписан]
Startup: C:\Users\PC\AppData\Local\Temp\\mozilla-temp-files []
Startup: C:\Users\PC\AppData\Local\Temp\\notificationimages []
Startup: C:\Users\PC\AppData\Local\Temp\\pip []
Startup: C:\Users\PC\AppData\Local\Temp\\StructuredQuery.log [] () [Файл не подписан]
Startup: C:\Users\PC\AppData\Local\Temp\\WinGet []
HKU\S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2519805770-743617746-3109695811-1003\...\StartupApproved\Run: => "Web Companion"
HKU\S-1-5-21-2519805770-743617746-3109695811-1003\...\StartupApproved\Run: => "LEAJ"
FirewallRules: [TCP Query User{798F87BD-EF98-420E-AC85-EED935BEC99A}C:\users\pc\downloads\hidden\hidden.exe] => (Allow) C:\users\pc\downloads\hidden\hidden.exe => Нет файла
FirewallRules: [UDP Query User{D84D7619-6CBD-4D8D-87B1-E27EA67CC54B}C:\users\pc\downloads\hidden\hidden.exe] => (Allow) C:\users\pc\downloads\hidden\hidden.exe => Нет файла
FirewallRules: [{88D975D3-1619-4886-87DB-31693A43979D}] => (Block) C:\users\pc\downloads\hidden\hidden.exe => Нет файла
FirewallRules: [{EAAC5402-650F-4588-8DEB-71AC1A8110C4}] => (Block) C:\users\pc\downloads\hidden\hidden.exe => Нет файла
StartBatch:
 del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
 del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
 del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
 del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
 del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\utc50c59.default\cache2\*.*"
 del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\22kkeg8k.default-release\cache2\*.*"
EndBatch:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Mikuare · Отправлено: **01:03, 26-09-2023** | #15

Код запустила, но забыла отключить антивирус...
Но логи прикрепляю

Sandor · Отправлено: **08:08, 26-09-2023** | #16

Что сейчас с проблемой?

Для проверки уязвимых мест и устаревшего критического ПО:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Mikuare · Отправлено: **15:12, 26-09-2023** | #17

Лог проверки прикрепляю.

В HiJackThis удаляла из автозагрузок папки и файлы Local/Temp/... , но стоит в директории появиться чему-нибудь, оно автоматически появляется в автозагрузке. Мог ли быть модифицирован какой-то системный файл или это скорее отдельный файл-скрипт?

Sandor · Отправлено: **15:20, 26-09-2023** | #18

Давайте сделаем такую проверку.
Её отчёт упакуйте и прикрепите к следующему сообщению.

Mikuare · Отправлено: **22:42, 04-10-2023** | #19

Здравствуйте, проверяла два раза, оба раза все чисто, скрины с двумя ошибками в архиве.

Mikuare · Отправлено: **23:27, 04-10-2023** | #20

Кажется, я справилась с этим надоедливым открыванием папок и файлов!
В очередной раз залезла в HiJackThis и пофиксила в секции O7:

Код:

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Startup = C:\Users\PC\AppData\Local\Temp\

После двух перезагрузок ничего не открывалось, в автозагрузке новых процессов/файлов не обнаружила.