Остатки вирусни на терминальнике

[obtim]

Есть небольшой терминальник на Win7x64. На нем была бяка, которая лечилась с DrWeb и Kaspersky Live. В итоге в системе что-то осталось, т.к. после ребута компа, на рабочем столе появляются скрытые файлы со странными названиями. Хотелось бы дочистить машину. Autologger отработал с консоли. Лог-в аттаче.

[Info_bot]

Уважаемый(ая) obtim, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ICQ\Удалить ICQ.lnk"      -> ["C:\Users\user1\AppData\Roaming\ICQM\icqsetup.exe"  =>> -uninstallcu]
>>>  "C:\Users\user2\Desktop\Документы И.В\ИП\ИП Шманенко И.В\2017\КДЦ Здоровье (Ростов-на-Дону)\Договор Установка оборудования (Здоровье).lnk"        -> ["C:\Users\user2\Desktop\Документы И.В\ИП\ИП Шманенко И.В\CМТ\Договор Установка оборудования (СМТ).docx"]
>>>  "C:\Users\user7\Desktop\Документ2 - Ярлык.lnk"          -> ["C:\Obmen\CAPRON podologie\Документ2.jpg"]
>>>  "C:\Users\user2\Desktop\Документы И.В\ИП\ИП Шманенко И.В\2017\Физкультурный диспансер на фонтанке\Договор Установка оборудования (Диспансер).lnk"           -> ["C:\Users\user2\Desktop\Документы И.В\ИП\ИП Шманенко И.В\CМТ\Договор Установка оборудования (СМТ).docx"]
>>>  "C:\Users\user4\AppData\Roaming\Microsoft\Word\Прил.%206.1%20Получение%20ответа%20касательно%20пе306345850761360169\Прил.%206.1%20Получение%20ответа%20касательно%20первого%20письма.docx.lnk"      -> ["C:\Obmen\Материалы\Прил. 6.1 Получение ответа касательно первого письма.docx"  =>> 14]
>>>  "C:\Users\user7\Desktop\Документ1 - Ярлык.lnk"          -> ["C:\Obmen\CAPRON podologie\Документ1.vsdx"]
>>>  "C:\ProgramData\MPK\MIPKO Employee Monitor\MIPKO Employee Monitor.lnk"      -> ["C:\Windows\SysWOW64\MPK\MPKView.exe"]
>>>  "C:\ProgramData\MPK\MIPKO Employee Monitor\Сайт  MIPKO Employee Monitor в Интернете.lnk"        -> ["C:\Windows\SysWOW64\MPK\MPKView.exe"  =>> 10]
>>>  "C:\ProgramData\MPK\MIPKO Employee Monitor\Купить сейчас!.lnk"    -> ["C:\Windows\SysWOW64\MPK\MPKView.exe"  =>> 11]
>>>  "C:\Users\user6\Desktop\1cv8 - попробовать через этот.lnk"        -> ["C:\Program Files (x86)\1cv8\8.3.14.1630\bin\1cv8.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks.lnk"       -> ["C:\ProgramData\BlueStacks\Client\Bluestacks.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Resource Kit Tools\Windows Resource Kit Tools Help.lnk"         -> ["C:\Windows\PCHEALTH\HELPCTR\BINARIES\HelpCtr.exe"  =>> -mode C:\Windows\help\rktools.xml]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Football Betting Helper.lnk"    -> ["D:\Football Betting Helper\FootballBettingHelper.exe"]
>>>  "C:\Users\user5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Uninstall\Uninstall Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"  =>> /UnInstall]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Portable Offline Browser.lnk"     -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"]
>>>  "C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"]
>>>  "C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Uninstall\Uninstall Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"  =>> /UnInstall]
>>>  "C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"]
>>>  "C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Uninstall\Uninstall Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"  =>> /UnInstall]
>>>  "C:\Users\user3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"]
>>>  "C:\Users\user3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Uninstall\Uninstall Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"  =>> /UnInstall]
>>>  "C:\Users\user4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"]
>>>  "C:\Users\user4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Uninstall\Uninstall Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"  =>> /UnInstall]
>>>  "C:\Users\user5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"]
>>>  "C:\Users\usеr1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"]
>>>  "C:\Users\usеr1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Uninstall\Uninstall Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"  =>> /UnInstall]
>>>  "C:\Users\user6\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"]
>>>  "C:\Users\user6\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Uninstall\Uninstall Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"  =>> /UnInstall]
>>>  "C:\Users\user7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"]
>>>  "C:\Users\user7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Uninstall\Uninstall Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"  =>> /UnInstall]
>>>  "C:\Users\User8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"]
>>>  "C:\Users\User8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Uninstall\Uninstall Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"  =>> /UnInstall]
>>>  "C:\Users\user9\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"]
>>>  "C:\Users\user9\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Uninstall\Uninstall Portable Offline Browser.lnk"         -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"  =>> /UnInstall]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MetaProducts Portable Offline Browser\Uninstall\Uninstall Portable Offline Browser.lnk"     -> ["C:\Program Files (x86)\Portable Offline Browser\POB.exe"  =>> /UnInstall]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET\ESET Security\Удалить.lnk"           -> ["C:\Program Files\ESET\ESET Security\callmsi.exe"  =>> /i {0813F772-F554-4DA9-9CEA-ABCE6321BDFD}]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET\ESET Security\ESET Security.lnk"     -> ["C:\Program Files\ESET\ESET Security\egui.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET\ESET Security\ESET SysInspector.lnk"           -> ["C:\Program Files\ESET\ESET Security\SysInspector.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET\ESET Security\SysRescue.lnk"         -> ["C:\Program Files\ESET\ESET Security\SysRescue.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Odds Wizard\Uninstall Odds Wizard.lnk"    -> ["C:\Windows\System32\Uninstow.exe"  =>> "C:\USERS\123\APPDATA\LOCAL\ODDSWIZ" "C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Odds Wizard\"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKCU\..\Run: [Effector saver monitor] = C:\Program Files (x86)\Effector saver 3\fmonitor.exe (file missing)
O4 - HKU\S-1-5-18\..\Run: [EPLTarget\P0000000000000000] = C:\Windows\system32\spool\DRIVERS\x64\3\E_YATII3E.EXE /EPT "EPLTarget\P0000000000000000" /M "L110 Series" (file missing) (User 'LocalSystem')
O4 - HKU\S-1-5-18\..\Run: [EPLTarget\P0000000000000001] = C:\Windows\system32\spool\DRIVERS\x64\3\E_YATII3E.EXE /EPT "EPLTarget\P0000000000000001" /M "L110 Series" (file missing) (User 'LocalSystem')
O4 - HKU\S-1-5-18\..\Run: [EPLTarget\P0000000000000002] = C:\Windows\system32\spool\DRIVERS\x64\3\E_YATII3E.EXE /EPT "EPLTarget\P0000000000000002" /M "L110 Series" (file missing) (User 'LocalSystem')
O4 - HKU\S-1-5-18\..\Run: [EPLTarget\P0000000000000003] = C:\Windows\system32\spool\DRIVERS\x64\3\E_YATII4E.EXE /EPT "EPLTarget\P0000000000000003" /M "L355 Series" (file missing) (User 'LocalSystem')
O4 - HKU\S-1-5-18\..\Run: [EPLTarget\P0000000000000004] = C:\Windows\system32\spool\DRIVERS\x64\3\E_YATII4E.EXE /EPT "EPLTarget\P0000000000000004" /M "L355 Series" (file missing) (User 'LocalSystem')
O4 - MSConfig\startupfolder: C:^Users^123^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Activation.lnk [backup] => C:\Windows\Activation.exe (2018/03/26) (file missing)
O4 - MSConfig\startupfolder: C:^Users^user1^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^wahiver - Ярлык.lnk [backup] => C:\Program Files (x86)\CCleaner\wahiver.exe (2021/06/14) (file missing)
O4 - MSConfig\startupreg: Bimoid [command] = C:\Program Files (x86)\Bimoid\Bimoid.exe (HKCU) (2021/06/14) (file missing)
O4 - MSConfig\startupreg: BimoidAdm [command] = C:\BimoidServer\BimoidAdm\BimoidAdm.exe /hide (HKCU) (2020/04/07) (file missing)
O4 - MSConfig\startupreg: svchost [command] = C:\Windows\svchost.exe (HKLM) (2017/04/20) (file missing)
O22 - Task: (damaged) \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - C:\Windows\system32\CompatTelRunner.exe (Microsoft) (user missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{05C5899C-F1B2-4C97-BAEC-4CE2B0026DEE} - \Adobe Reader (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{18C61178-1218-4F59-947E-D167759611BE} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3D43DD9F-0B47-4EDC-98A3-5D42266124F6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4A45AFD5-EC33-4C5B-B4E7-C90D47615AF5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5693843D-19BD-4081-9559-28D9234CF9C4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{70EC8A73-252A-4DAB-84AB-F9C6147883F2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{85329D3E-8C33-4783-A836-5D346606A22B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8945B0BD-CFB9-4850-9C2C-9B3695DABD98} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8BAFC4CD-C222-4DDB-8ED5-402DDD5E7B01} - \GoogleUpdateTaskMashine (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BB14EEA6-6626-49F4-9205-C7593E79B9AB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FB1BC5AF-011D-45D4-8927-0806972327F8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Leader Technologies (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\System (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows (empty)
O22 - Task: KMSAuto - C:\Windows\KMSAuto.exe /ofs=act (file missing)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[obtim]

1. Сделал. Лог в аттаче
2. Удалил
3. Сделал. Лог в аттаче(одним архивом)
Компьютер перезагрузил

[Vvvyg]

Eset Security покоцан и не работает, удалите Похоже, из-за него Addition.txt неполный.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3477204938-2020826285-3527804023-1017\...\Run: [Bimoid] => "C:\Program Files (x86)\Bimoid\Bimoid.exe" (Нет файла)
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh]
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci]
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif]
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn]
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd]
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj]
Virustotal: C:\Users\123\AppData\Roaming\run.exe
File: C:\Users\123\AppData\Roaming\run.exe
Virustotal: C:\Users\Public\Documents\tarminutesNoJKZtzoOx.xlsx
File: C:\Users\Public\Documents\tarminutesNoJKZtzoOx.xlsx
Virustotal: C:\Users\Public\Documents\t1gsaveNoJKZtzoOx.pdf
File: C:\Users\Public\Documents\t1gsaveNoJKZtzoOx.pdf
Unlock: C:\Program Files\Process Hacker 2
Unlock: C:\Windows\SysWOW64\eventvwr.msc
ZIP: C:\Users\Public\Documents\stxnoteNoJKZtzoOx.pptx; C:\Users\Public\Documents\sq4saveNoJKZtzoOx.txt;:\Users\Public\Documents\spysettingNoJKZtzoOx.xls
Folder: C:\Users\Avmz1L0q2xmuCp
C:\Users\Avmz1L0q2xmuCp
Folder: C:\Users\Qri1L0q2xmuCp
C:\Users\Qri1L0q2xmuCp
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения фикса, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

[obtim]

После применения этого и перезагрузки, комп уходит в даун. Помогает только восстановление последней удачной конфигурации. Спасибо за помощь: закрою вопрос. Лучше систему переустановлю.

[Vvvyg]

Ничего разрушительного в фиксе не было, видимо, система уже доживала своё. И, похоже, аппаратные проблемы:

Имя компьютера: 123-ПК
Код события: 19
Сообщение: Произошла устраненная аппаратная ошибка.

Сообщивший компонент: ядро процессора
Источник ошибки: Исправленная ошибка проверки компьютера
Тип ошибки: Неизвестная ошибка
ИД процесса: 4

Будете переустанавливать - все обновления сразу установите, 7-ка с января 20-го снята с расширенной поддержки. Накатите Набор обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1 - быстро, просто, и всё оптом.