Вирусы грузят систему, появляются снова послее удаления антивирусами

[aquezor]

Здравствуйте. Поймал вирусни, проверка антивирусами или не находит проблем, или удаляет их, но они через время появляются снова.
Процессор загружает почти на 100% процесс aes-avx.exe, этот процесс невозможно завершить, прежде чем не завершить процессы Yfte.exe и xnv.exe, прикрепил скриншот. Прошу помочь.

CollectionLog-2017.07.11-23.24.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\qwerty\appdata\roaming\lrl5j\yfte.exe');
 QuarantineFile('c:\users\qwerty\appdata\roaming\lrl5j\yfte.exe','');
 TerminateProcessByName('c:\users\qwerty\appdata\roaming\lrl5j\bnfqc\xg_2\xnv.exe');
 QuarantineFile('c:\users\qwerty\appdata\roaming\lrl5j\bnfqc\xg_2\xnv.exe','');
 TerminateProcessByName('c:\users\qwerty\appdata\roaming\lrl5j\clds4\svchost.exe');
 QuarantineFile('c:\users\qwerty\appdata\roaming\lrl5j\clds4\svchost.exe','');
 TerminateProcessByName('C:\Users\qwerty\AppData\Roaming\LrL5J\bNfQc\xm_3\aes-avx.exe');
 QuarantineFile('C:\Users\qwerty\AppData\Roaming\LrL5J\bNfQc\xm_3\aes-avx.exe','');
 DeleteFile('C:\Users\qwerty\AppData\Roaming\LrL5J\bNfQc\xm_3\aes-avx.exe','32');
 DeleteFile('c:\users\qwerty\appdata\roaming\lrl5j\clds4\svchost.exe','32');
 DeleteFile('c:\users\qwerty\appdata\roaming\lrl5j\bnfqc\xg_2\xnv.exe','32');
 DeleteFile('c:\users\qwerty\appdata\roaming\lrl5j\yfte.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YtQ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[aquezor]

KLAN-6517157960

В следующих файлах обнаружен вредоносный код:
yfte.exe - HEUR:Trojan.Win32.Generic

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
xnv.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.hzon
aes-avx.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.cdr

В антивирусных базах информация по присланным вами файлам отсутствует:
svchost.exe




 

CollectionLog-2017.07.12-14.33.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[aquezor]

Прикрепил

123.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-3061514080-3477820919-2161961137-1000\...\Run: [YtQ] => C:\Users\qwerty\AppData\Roaming\LrL5J\YftE.exe [4948480 2017-07-12] ()
FF Extension: (Ace Stream Web Extension) - C:\Users\qwerty\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2017-01-31]
CHR Extension: (Adblock Plus) - C:\Users\qwerty\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-07-12]
CHR Extension: (Ace Stream Web Extension) - C:\Users\qwerty\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2017-07-11]
CHR HKU\S-1-5-21-3061514080-3477820919-2161961137-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
2017-07-11 20:18 - 2017-07-12 15:08 - 00000000 ____D C:\Users\qwerty\AppData\Roaming\LrL5J
ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
ContextMenuHandlers05: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> No File
ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
Task: {00AEF1DE-5C46-4836-8A9B-56D77DE49C76} - \GoogleUpdateTaskMachineUI  -> No File <==== ATTENTION
MSCONFIG\startupreg: AceUpdater => C:\Users\qwerty\AppData\Roaming\ACEStream\updater\ace_update.exe
MSCONFIG\startupreg: AceWebExtensionUpdater => C:\Users\qwerty\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[aquezor]

Прикрепил

Fixlog.txt

[thyrex]

Проблема решена?

[aquezor]

Да, за время после того как я выполнил то что Вы написали в 6 сообщении процессы больше не появляются, большое спасибо!

[thyrex]

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Скопируйте содержимое файла в свое следующее сообщение.

[aquezor]

SecurityCheck by glax24 & Severnyj v.1.4.0.51 [13.06.17]

WebSite: www.safezone.cc

DateLog: 12.07.2017 17:58:10

Path starting: C:\Users\qwerty\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: qwerty

VersionXML: 4.48is-05.07.2017

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)

Дата установки ОС: 08.07.2015 22:40:01

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [931.2 Гб] Занято: [540.3 Гб] Свободно: [390.9 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено (-1)

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------- [ HotFix ] --------------------------------

HotFix KB3124000 Внимание! Скачать обновления

HotFix KB3115858 Внимание! Скачать обновления

HotFix KB3140735 Внимание! Скачать обновления

HotFix KB3138910 Внимание! Скачать обновления

HotFix KB3138962 Внимание! Скачать обновления

HotFix KB3145739 Внимание! Скачать обновления

HotFix KB3146963 Внимание! Скачать обновления

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3156016 Внимание! Скачать обновления

HotFix KB3156019 Внимание! Скачать обновления

HotFix KB3155178 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3170455 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3185911 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2007 v.12.0.6612.1000

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (включен и устарел)

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.26 v.7.26.101 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 26 NPAPI v.26.0.0.137 [+]

Adobe Flash Player 26 PPAPI v.26.0.0.137 [+]

Adobe Acrobat Reader DC - Russian v.17.009.20044

------------------------------- [ Browser ] -------------------------------

Google Chrome v.59.0.3071.115

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.59.0.3071.115

------------------ [ AntivirusFirewallProcessServices ] -------------------

Защитник Windows (WinDefend) - Служба работает

----------------------------- [ End of Log ] ------------------------------

[thyrex]

У Вас огромный фронт работ.

 

Исправляйте указанное