открывающиеся папки в Temp из-за LEAJ.exe

Sandor · Отправлено: **08:35, 18-09-2023** | #2

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата:

Web Companion

Пофиксите в HijackThis только следующие строчки:

Код:

O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\PC\AppData\Local\Temp\.ses (2023/09/09) (not signed)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\PC\AppData\Local\Temp\cv_debug.log (2023/09/17) (not signed)
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\PC\AppData\Local\Temp\MicrosoftEdgeUpdate.log (2023/09/17) (not signed)
O4 - HKU\S-1-5-19\..\RunOnce: [Java] = C:\Java\lib\javaw.jar (file missing) (User 'Local service')
O4 - HKU\S-1-5-20\..\RunOnce: [Java] = C:\Java\lib\javaw.jar (file missing) (User 'Network service')
O4 - MountPoints2: HKCU\..\{70c4a3ac-e79a-11ed-a5d0-e848b8c82000}\shell\AutoRun\command: (default) = D:\WifiAutoInstallSetup.exe (file missing)
O4 - MountPoints2: HKCU\..\{70c4a3b6-e79a-11ed-a5d0-e848b8c82000}\shell\AutoRun\command: (default) = D:\WifiAutoInstallSetup.exe (file missing)
O4 - MountPoints2: HKCU\..\{70c4a3de-e79a-11ed-a5d0-e848b8c82000}\shell\AutoRun\command: (default) = D:\WifiAutoInstallSetup.exe (file missing)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\\edge_BITS_16876_359178785 (folder)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\\Low (folder)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\\mozilla-temp-files (folder)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\246d6815-b474-438e-ae4f-83f0cf4ef5ee.tmp (not signed)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\b09876dc-678f-4dd1-9eec-d3a81e779c73.tmp (not signed)
O4 - Startup User: C:\Users\PC\AppData\Local\Temp\dc75fa3b-0de9-4aa4-8854-681cd5623a0c.tmp (not signed)
O15 - Trusted Zone: http://webcompanion.com
O22 - Tasks: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask - C:\Windows\System32\RemoteFXvGPUDisablement.exe Disable (file missing)
O22 - Tasks: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask - C:\Windows\System32\RemoteFXvGPUDisablement.exe Warning (file missing)
O22 - Tasks: Oracle - C:/Java/lib/javaw.jar (file missing)
O22 - Tasks_Migrated: Oracle - C:/Java/lib/javaw.jar (file missing)

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Mikuare · Отправлено: **17:37, 18-09-2023** | #3

Здравствуйте!
Все сделано, отчеты прикрепляю.

Sandor · Отправлено: **08:08, 19-09-2023** | #4

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Скачайте и распакуйте вложенный архив. Поместите его рядом с файлом C:\Users\PC\Desktop\FRST64.exe
Отключите до перезагрузки антивирус.
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Mikuare · Отправлено: **01:00, 20-09-2023** | #5

Здравствуйте!

Архив лога прикрепила, открытие папок уже не происходит, еще что-то нужно будет сделать?

Sandor · Отправлено: **08:00, 20-09-2023** | #6

Да, еще один небольшой скрипт выполните в безопасном режиме, пожалуйста.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\PC\AppData\Local\Temp\files
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Mikuare · Отправлено: **03:47, 21-09-2023** | #7

Здравствуйте!

Сделала, лог прикрепила.
Все таки поспешила с выводом, сразу после работы предыдущего шага открытие прекратилось, сейчас появилось вновь.

Sandor · Отправлено: **08:16, 21-09-2023** | #8

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

Mikuare · Отправлено: **22:27, 22-09-2023** | #9

Результата скана прикрепляю.

Sandor · Отправлено: **12:37, 23-09-2023** | #10

Удалять ничего не нужно.

Цитата Mikuare:

сейчас появилось вновь »

Покажите скриншот, пожалуйста.