Что-то пытается закинуть вирусный файл в папку гугл хрома

[DeadAgain]

Это происходит уже больше недели, если не меньше. Антивирус удаляет файл, который появляется снова. Путь к этому файлу всегда один: C:\Users\gromerten\AppData\Local\Google\Chrome\User\Data\Default\Cache\f_00456a

Антивирус удаляет именно f_00456a, помечает его как Backdoor.PHP.Ajash.a 

Все предложенные программы я использовал, но так и не нашёл на компьютере то, что отвечает за создание или загрузку этого файла. 

CollectionLog-2017.01.22-17.15.zip

Изменено 22 января, 2017 пользователем DeadAgain

[Roman_Five]

Драйверы NVidia надо скачивать с официального сайта, а не непонятно какую сборку.
 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 DeleteFile('C:\Windows\system32\Tasks\{7D411C8A-F7A3-4C99-BBE4-0A8DC238F8CC}','64');
 DeleteFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
  DeleteFile('C:\Windows\SYSWOW64\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\SYSWOW64\vulkan-1.dll ',' ');
 DeleteFile('C:\Windows\system32\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\system32\vulkan-1.dll',' ');
 DeleteFileMask('C:\Program Files (x86)\VulkanRT/ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\VulkanRT ',' ');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.

Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.

2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.

3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

 

Сделайте новые логи по правилам (только пункт 2).

+

 

приложите лог FRST и AdwCleaner
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[DeadAgain]

Сделал всё по инструкции

Драйверы NVidia надо скачивать с официального сайта, а не непонятно какую сборку.
 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 DeleteFile('C:\Windows\system32\Tasks\{7D411C8A-F7A3-4C99-BBE4-0A8DC238F8CC}','64');
 DeleteFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
  DeleteFile('C:\Windows\SYSWOW64\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\SYSWOW64\vulkan-1.dll ',' ');
 DeleteFile('C:\Windows\system32\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\system32\vulkan-1.dll',' ');
 DeleteFileMask('C:\Program Files (x86)\VulkanRT/ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\VulkanRT ',' ');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.

Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.

2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.

3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

 

Сделайте новые логи по правилам (только пункт 2).

+

 

приложите лог FRST и AdwCleaner
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158
http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry647696

Всё сделал

CollectionLog-2017.01.22-22.04.zip

FRST.txt

Addition.txt

AdwCleanerS0.txt

Изменено 22 января, 2017 пользователем DeadAgain

[DeadAgain]

Драйверы NVidia надо скачивать с официального сайта, а не непонятно какую сборку.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 DeleteFile('C:\Windows\system32\Tasks\{7D411C8A-F7A3-4C99-BBE4-0A8DC238F8CC}','64');
 DeleteFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
  DeleteFile('C:\Windows\SYSWOW64\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\SYSWOW64\vulkan-1.dll ',' ');
 DeleteFile('C:\Windows\system32\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\system32\vulkan-1.dll',' ');
 DeleteFileMask('C:\Program Files (x86)\VulkanRT/ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\VulkanRT ',' ');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.

Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.

2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.

3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

 

Сделайте новые логи по правилам (только пункт 2).

+

 

приложите лог FRST и AdwCleaner

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry647696

Нужно ждать ответа от лаборатории, или есть ещё рекомендации?