Кот в мешке

Printable View

12.03.2018, 00:07
Wellihar

Вложений: 1

Кот в мешке

Скачал некий файл , который должен был быть руссификатором, но оказался он чем то другим. Установил дополнительное неизвестное мне расширение в браузер, и самоудалился :) После чего система пару минут была сильно загружена , что то он делал в системе,помогите разобраться. Заранее спасибо.
12.03.2018, 00:13
Info_bot

Уважаемый(ая) [B]Wellihar[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
13.03.2018, 07:01
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\Users\welli\AppData\Local\VirtualStore\ISSCH\issch.exe', '');
QuarantineFile('C:\Users\welli\AppData\Roaming\Microsoft\msi.exe', '');
DeleteFile('C:\Users\welli\AppData\Local\VirtualStore\ISSCH\issch.exe', '32');
DeleteFile('C:\Users\welli\AppData\Roaming\Microsoft\msi.exe', '32');
DeleteFile('C:\WINDOWS\system32\Tasks\Wise Memory Optimizer Task.job', '64');
ExecuteFile('schtasks.exe', '/delete /TN "InstallShield Update Service" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
DeleteFileMask('c:\users\welli\appdata\local\virtualstore\issch', '*', true);
DeleteDirectory('c:\users\welli\appdata\local\virtualstore\issch');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
13.03.2018, 09:27
Wellihar

Вложений: 1

Карантин загрузить не получается, пишет : Ошибка загрузки. Данный файл уже был загружен.
13.03.2018, 21:46
Vvvyg

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
Virustotal: C:\Users\welli\AppData\Roaming\YFsxohyyCaA.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 ____N (Microsoft Corporation) C:\Users\welli\AppData\Roaming\YFsxohyyCaA.exe
Virustotal: C:\Users\welli\AppData\Local\GoDLnolKaaqMW.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 ____N (Microsoft Corporation) C:\Users\welli\AppData\Local\GoDLnolKaaqMW.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 ____N (Microsoft Corporation) C:\Users\welli\AppData\Local\NeNUeYzQe.exe
Task: {6C777E88-777A-404A-A4E5-1D69D5B38B2F} - \Wise Memory Optimizer Task.job -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\update-S-1-5-21-2151076227-1000497642-3786723252-1001.job =>
Task: C:\WINDOWS\Tasks\update-sys.job =>
C:\Users\welli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e99d70d39d04ef\Google Chrome.lnk
HKLM\...\StartupApproved\Run: => "SecurityHealth"
HKLM\...\StartupApproved\Run32: => "avgnt"
FirewallRules: [{F6C505D1-1E64-44F2-8602-26D01363A583}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe
FirewallRules: [{A3CFDB18-D3A8-425D-90E7-7E0DE820411F}] => (Allow) C:\Users\welli\AppData\Local\NeNUeYzQe.exe
FirewallRules: [{F42F3F66-81E9-4CFD-B3D6-F486895A0605}] => (Allow) C:\Users\welli\AppData\Local\GoDLnolKaaqMW.exe
FirewallRules: [{894CC677-683B-41B4-A371-FF280BD479AE}] => (Allow) C:\WINDOWS\SysWOW64\tracert.exe
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
15.03.2018, 14:33
Wellihar

Вложений: 1

Вот.
15.03.2018, 20:35
Vvvyg

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.
17.03.2018, 03:14
Wellihar

Вложений: 1

готово)
17.03.2018, 12:09
Vvvyg

Рекомендации:[QUOTE]Контроль учётных записей пользователя [b]включен[/b]
Запрос на повышение прав для администраторов [color=red][b]отключен[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]

Google Chrome v.64.0.3282.186 [color=red][b]Внимание! [url=https://www.google.ru/chrome/browser/desktop/index.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Google Chrome!^[/b][/color]

Чистилка v.2.19.6 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.[/QUOTE]
И всё на этом.
17.03.2018, 14:04
Wellihar

Большое спасибо.
17.03.2018, 15:13
Vvvyg

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].