Подозрение на вирус.

[Negtogen]

Поймал вирус, добавляющий Амиго, Одноклассники и т.д. Чистил браузер, удалял программы, проверял 3-мя антивирусами. Хочу убедиться, что его и след простыл. Спасибо.

[Info_bot]

Уважаемый(ая) Negtogen, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\Default\AppData\Local\host.bat', '');
 QuarantineFile('C:\Users\Default\AppData\Local\sys.js', '');
 QuarantineFile('C:\WINDOWS\SYSWOW64\6344089.exe', '');
 DeleteFile('C:\Users\Виталий Русаков\AppData\Local\aCmDQzt.bat', '32');
 DeleteFile('C:\Users\Виталий Русаков\AppData\Local\mtlbf.bat', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "naGdahLPMNv" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ssAHysRmKIhn" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

[Negtogen]

Прислал, вроде как, а то оповещений никаких не было...

[Vvvyg]

quarantine.zip загрузите в карантин.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Negtogen]

Прикрепил, а при нажатии на клавишу "Прислать запрошенный карантин" появляется окно, где все надписи заменены ромбами, но я выбрал файл quarantine.zip и нажал на большую красную кнопку ( думаю, что она подразумевает загрузку).

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Closeprocesses:
CMD: type C:\Users\Default\AppData\Local\sys.js
Virustotal^ C:\Users\Default\AppData\Local\sys.js
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811138
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811138"
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKU\S-1-5-21-2234113057-123046553-1603951102-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
2017-11-29 19:46 - 2017-11-29 19:46 - 000000000 ____D C:\Users\Виталий Русаков\AppData\Local\Tempzxpsignc76c517ea98ae698
2017-11-29 19:46 - 2017-11-29 19:46 - 000000000 ____D C:\Users\Виталий Русаков\AppData\Local\Tempzxpsign6e376ca47f09c797
Task: {BA7DB64C-54EF-4ED5-A10D-E7223B81D7C0} - \KMSAuto -> No File <==== ATTENTION
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
В FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Negtogen]

Сделал

[Vvvyg]

Примените такой fixlist.txt в FRST64:

Код:

CMD: type C:\Users\Default\AppData\Local\host.bat

Новый Fixlog.txt прикрепите.

[Negtogen]

Готово

[Vvvyg]

И такой fixlist.txt напоследок:

Код:

Startup: C:\Users\Виталий Русаков\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sys.lnk [2017-01-22]
ShortcutTarget: sys.lnk -> C:\Users\Default\AppData\Local\sys.js ()
C:\Users\Default\AppData\Local\host.bat
C:\Users\Default\AppData\Local\system32.exe

Новый Fixlog.txt прикрепите. И сообщите, что с проблемами.

[Negtogen]

Прикрепил, послежу за результатом...

[Negtogen]

Ну, пока ничего не тревожит, единственный вопрос: Системные ошибки (пример: ctfmon.exe - Системная ошибка) тоже вирус вызывал? На данный момент они не прослеживаются, но и понять, есть они или нет я не могу, т.к. появлялись при запуске чего-то.

[Vvvyg]

Вряд ли, не все беды связаны с вирусами.

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если его нет- продолжайте без него.

Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

[Negtogen]

Ладно, спасибо вам за оказанную помощь!

[Vvvyg]

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены