Кот в мешке

[Wellihar]

Скачал некий файл , который должен был быть руссификатором, но оказался он чем то другим. Установил дополнительное неизвестное мне расширение в браузер, и самоудалился После чего система пару минут была сильно загружена , что то он делал в системе,помогите разобраться. Заранее спасибо.

[Info_bot]

Уважаемый(ая) Wellihar, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\welli\AppData\Local\VirtualStore\ISSCH\issch.exe', '');
 QuarantineFile('C:\Users\welli\AppData\Roaming\Microsoft\msi.exe', '');
 DeleteFile('C:\Users\welli\AppData\Local\VirtualStore\ISSCH\issch.exe', '32');
 DeleteFile('C:\Users\welli\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Wise Memory Optimizer Task.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "InstallShield Update Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 DeleteFileMask('c:\users\welli\appdata\local\virtualstore\issch', '*', true);
 DeleteDirectory('c:\users\welli\appdata\local\virtualstore\issch');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Wellihar]

Карантин загрузить не получается, пишет : Ошибка загрузки. Данный файл уже был загружен.

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Virustotal: C:\Users\welli\AppData\Roaming\YFsxohyyCaA.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 ____N (Microsoft Corporation) C:\Users\welli\AppData\Roaming\YFsxohyyCaA.exe
Virustotal: C:\Users\welli\AppData\Local\GoDLnolKaaqMW.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 ____N (Microsoft Corporation) C:\Users\welli\AppData\Local\GoDLnolKaaqMW.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 ____N (Microsoft Corporation) C:\Users\welli\AppData\Local\NeNUeYzQe.exe
Task: {6C777E88-777A-404A-A4E5-1D69D5B38B2F} - \Wise Memory Optimizer Task.job -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\update-S-1-5-21-2151076227-1000497642-3786723252-1001.job => 
Task: C:\WINDOWS\Tasks\update-sys.job => 
C:\Users\welli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e99d70d39d04ef\Google Chrome.lnk
HKLM\...\StartupApproved\Run: => "SecurityHealth"
HKLM\...\StartupApproved\Run32: => "avgnt"
FirewallRules: [{F6C505D1-1E64-44F2-8602-26D01363A583}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe
FirewallRules: [{A3CFDB18-D3A8-425D-90E7-7E0DE820411F}] => (Allow) C:\Users\welli\AppData\Local\NeNUeYzQe.exe
FirewallRules: [{F42F3F66-81E9-4CFD-B3D6-F486895A0605}] => (Allow) C:\Users\welli\AppData\Local\GoDLnolKaaqMW.exe
FirewallRules: [{894CC677-683B-41B4-A371-FF280BD479AE}] => (Allow) C:\WINDOWS\SysWOW64\tracert.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Wellihar]

Вот.

[Vvvyg]

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Wellihar]

готово)

[Vvvyg]

Рекомендации:

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Google Chrome v.64.0.3282.186 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Чистилка v.2.19.6 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

И всё на этом.

[Wellihar]

Большое спасибо.

[Vvvyg]

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.