KIS при сканировании памяти находит trojan.multi.wmirun.a

[regist 617]

1) MBAM деинсталируйте.

 

2) Как вы определили, что кто-то изменил вам ярлыки? По этому логу не заметил этого, возможно рано прервали и слишком много там мусора.

 

3) В безопасном режиме проблема наблюдается?

И эту строку из лока касперского, где он пишет про найденную угрозу скопируйте сюда.

[sjh 0]

То, что ярлыки меняются видно в их свойствах (скрины во вложении). Ну и при запуске браузера открывается страница hao...

В безопасном режиме тоже самое.

Лог касперского и скрин во вложении

kis_log.txt

[regist 617]

пожалуйста, сделайте лог AutoRuns
Скачайте утилиту, распакуйте. Запустите правой кнопкой от имени администратора.
В меню Options -  Scan Options поставьте все галочки - нажмите Rescan.
Остальные настройки не трогайте. После этого дождитесь окончания создания списка. Сохраните лог - файл с расширением .arn
Заархивируйте его выложите его тут.

[sjh 0]

при сканировании со всеми галочками находит по-моему только пунто свитчер

файл во вложении

DESKTOP-28BGJNL.7z

[regist 617]

Возможно касперский успевает удалить до того как попадёт в лог. Попробуйте временно его отключить и так переделать лог.

 

+ Скачайте заново (свежую версию uVS) и его лог также переделайте.

Про uVS подробней написано в посте № #6

[sjh 0]

логи с отключенным KIS во вложении

DESKTOP-28BGJNL_230517.7z

DESKTOP-28BGJNL_2017-05-23_19-34-07.7z

[regist 617]

Попробуйте обратиться в тех. поддержку. У меня больше идей нет.

[regist 617]

Просьба отпишитесь потом о результате.

[sjh 0]

Проблема решена.

Поддержка предложила следующий скрипт

 

begin
SetAVZGuardStatus(True);
QuarantineFile('U.exe','');
QuarantineFile('/UserInstall.exe','');
QuarantineFile('C:\WINDOWS\inf\unregmp2.exe','');
DeleteFile('C:\WINDOWS\inf\unregmp2.exe','32');
DeleteFile('/UserInstall.exe','32');
DeleteFile('U.exe','32');
DelCLSID('{89820200-ECBD-11cf-8B85-00AA005B4340}');
DelCLSID('{2C7339CF-2B09-4501-B3F3-F3508C9228ED}');
DelCLSID('>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\inf\unregmp2.exe');
BC_DeleteFile('/UserInstall.exe');
BC_DeleteFile('U.exe');
BC_Activate;
RebootWindows(true);
end.

сам по себе скрипт не помог, но после его запуска KIS при сканировании нашел зараженный фал, который раньше пропускал и удалил его с перезагрузкой.

[Dbace 0]

@sjh, подскажите пожалуйста как запустить этот скрипт, у меня аналогичная проблема.

[sjh 0]

@sjh, подскажите пожалуйста как запустить этот скрипт, у меня аналогичная проблема.

С помощью uvs. Описано в 8ом сообщении данной темы

[regist 617]

@Dbace, выполнять скрипты написанные для других пользователей запрещено! Вы можете убить свою систему, тем более там удаляют легальный файл! Другое, дело что конкретно @sjh, этого файла (как и остальных которых этим скриптом удаляли) не было и скрипт только зачистил хвосты в реестре (собственно поэтому пользы от выполнения скрипта и не было).
 
+ Порядок оформления запроса о помощи

Особенно внимательно пункт №3 прочитайте.