Уверен, что есть вирус. Но не могу поймать.

[J_vorobey]

Добрый день!
Вчера скачивал с файлообменника мануал для домашней техники и, видимо, поймал вирус.
Скачанный файл был проверен Авастом и признан безопасным, но после его открытия установилось нечто новое от мейлру и сменилась стартовая страница в хром и прочее. Все эти мелочи легко убрались, но при перезапуске ноута обнаружилось, что система стала запускаться очень долго.
И самое главное - после запуска появляется окно командной строки, в котором создается задание, выполняется скачивание чего-то, затем пишет что все ОК и закрывается. В планировщике не смог обнаружить засланного казачка (но, возможно, я не понимаю кто он).
Просканировал систему Авастом и Malwarebytes. Удалил всё что они нашли, но проблема осталась в полном объеме.
Кстати, при перезагрузке после чистки Аваст один раз сообщил что угроза обнаружена во время работы командной строки. Более ни на что не реагировал ни разу. (скрины командной строки тоже приложу - отображаются не по порядку во вложении - смотреть с №1 по №4, в таком порядке меняется содержимое командной строки.). Спецификация системы также в скрине.

[Info_bot]

Уважаемый(ая) J_vorobey, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('33828656.exe');
 TerminateProcessByName('c:\users\843e~1\appdata\local\temp\is-ki397.tmp\33828656.exe');
 QuarantineFile('C:\Program Files (x86)\eyIoUYunx.bat', '');
 QuarantineFile('c:\users\843e~1\appdata\local\temp\is-ki397.tmp\33828656.exe', '');
 QuarantineFile('C:\Users\Никита\oUXB.exe', '');
 QuarantineFile('C:\Windows\YOaYje.bat', '');
 DeleteFile('33828656.exe', '32');
 DeleteFile('C:\Program Files (x86)\eyIoUYunx.bat', '32');
 DeleteFile('c:\users\843e~1\appdata\local\temp\is-ki397.tmp\33828656.exe', '32');
 DeleteFile('C:\Users\Никита\AppData\Local\Lite\Application\lite.exe', '32');
 DeleteFile('C:\Users\Никита\oUXB.exe');
 DeleteFile('C:\Windows\YOaYje.bat', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "OIeeuOagikLrS" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "viiYaeOYCaey" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "YVOgwJWLO" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[J_vorobey]

Здравствуйте!
Скрипт выполнен, карантин отправил.
Во вложении отчеты FRST
После перезагрузки командной строки уже не видел, но грузиться по прежнему долго.
Все указанные вами операции выполнялись с выключенными экранами Аваст.

- - - - -Добавлено - - - - -

Карантин отправил скорее всего два раза. Извините!) Ребенок отвлек и не смог вспомнить отправил или нет. На всякий случай повторил.

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
CHR HKU\S-1-5-21-967253264-1570447191-1241184443-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ledkfmfckejkemlmpckiaoaldhldfmbe] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-967253264-1570447191-1241184443-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lfejokjokpdjkjnkglmjlbebojjbfedc] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <not found>
U3 aswbdisk; no ImagePath
2014-10-29 04:40 - 2014-10-29 04:40 - 000001144 _____ () C:\Users\Никита\eIbEDe.bat
2018-01-07 18:56 - 2014-10-29 04:40 - 000000066 _____ () C:\Program Files (x86)\eyIoUYunx
2018-01-07 18:56 - 2014-10-29 04:39 - 000197120 _____ (Microsoft Corporation) C:\Program Files (x86)\YAOFFCIoU.exe
2018-01-07 18:56 - 2014-10-29 04:40 - 000001129 _____ () C:\Users\Никита\AppData\Local\aUUoUI
2014-10-29 04:40 - 2014-10-29 04:40 - 000001129 _____ () C:\Users\Никита\AppData\Local\aUUoUI.bat
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Удалите Malwarebytes, эта программа нужна только для разовых проверок.
Вредоносного ничего нет, но много программ в автозагрузке. Lynk, например, точно нужен?

[J_vorobey]

Готово!
Грузиться все равно долго. Malwarebytes снес через Revo Uninstaller и остаточные папки тоже. Насчет Lynk даже не могу сказать... Ноут рабочий (не мой личный) в офисе коннектится с системой - может и нужен. Ну и там еще масса программ рабочих стоит, а чем они в процессе пользуются я не вникал. Если объясните для чего Lynk нужен скажу точно надо или нет.
И большая просьба - просветите! Что же это такое было у меня?)
Обидно! Я много лет на компьютерах чего только не делал, но впервые поймал то с чем не смог сам справиться! Даже вымогателей сам ликвидировал... а тут. Прям стыдно за себя! И Аваст впервые подвел! Всегда спасал обычно.

[Vvvyg]

Антивирусы нужно удалять только и исключительно собственным анинсталлером. Попытки несанкционированного удаления антивирусы, как правило, блокируют, так что, могли остаться драйвера, службы, в общем, некорректно удалиться. Сделайте новый лог FRST для контроля.

Lynk - это корпоративный мессенджер, применяется в доменных сетях. Если не используете, удалите в компонентах MS Office.

Что там было - сказать сложно, зачищались уже остатки.

[J_vorobey]

Так Revo сначала запускает собственный анисталлер программы (если он есть). Собственно так и сделал сейчас. Про Lynk ясно - можно убрать. А лог в FRST делать тем же fixlist.txt?

- - - - -Добавлено - - - - -

Вот лог.

- - - - -Добавлено - - - - -

Да! Еще вопрос - все программы, которыми я сейчас с Вашей помощью пользовался можно удалять? Я с ними без Ваших инструкций все равно не буду работать. А если еще понадобятся уже новые будут очевидно.

[Vvvyg]

Не фикс, а лог нужен, сообщение #3 смотрите.

[J_vorobey]

Прошу прощения!

[Vvvyg]

Там снова Fixlog.txt вместо FRST.txt.

[J_vorobey]

Промахнулся)))
Вот он!

[Vvvyg]

MBAM удалён полностью. вредоносного ничего нет. Если хотите вернуть "как было" - делайте откат системы на точку восстановления, самая старая - от 28-12-2017. Но если проблема, например, аппаратная - не поможет.

[J_vorobey]

Все отлично!
Смысла в откате не вижу!
Огромное спасибо Vvvyg за поддержку и помощь!
Поделюсь Вашим великолепным сайтом на ФБ!

[Vvvyg]

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены