KIS при сканировании памяти находит trojan.multi.wmirun.a

[sjh]

Добрый день.

KIS и KVRT при сканировании памяти находят вирус trojan.multi.wmirun.a

Вирус добавляет в ярлыки браузеров IE и Chrome ссылку на удалено

Говорят, что успешно лечат его. Но после перезагрузки все повторяется.

AdwCleaner тоже находит эти ссылки. Удаляет. Но до перезагрузки.

ПК новый. Win 10. Только установил Хром и увидел эту проблему. Программ стоит минимум. Сомнительных нет.

Спасибо.

CollectionLog-2017.05.17-17.16.zip

Изменено 17 мая, 2017 пользователем regist
вирусная ссылка

[regist]

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[sjh]

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

Добрый день.

Логи во вложении.

Поскольку AdwCleaner после работы ClearLNK ошибок не выдал, то вложил еще и вчерашний отчет с ошибками. 

ClearLNK-18.05.2017_10-55.log

AdwCleanerS7.txt

AdwCleanerS5.txt

AdwCleanerC6.txt

[regist]

В AdwCleaner надо было только просканировать.

 

Что с проблемой?

[sjh]

Ничего не изменилось. Проблема осталась.

[regist]

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.

[sjh]

Добрый день.

Лог, полученный uVS, во вложении

DESKTOP-28BGJNL_2017-05-19_10-57-29.7z

[regist]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.4 [http://dsrt.dyndns.org]
  ;Target OS: NTv10.0
  v400c
  BREG
  delref %SystemDrive%\USERS\VERA\APPDATA\LOCAL\TEMP\CHROME_BITS_4340_27072\11_WIN_FILETYPEPOLICIES.CRX
  zoo %SystemDrive%\USERS\VERA\APPDATA\LOCAL\TEMP\{3EE64216-CC3F-4969-9456-AC1B3E4D2081}-GOOGLEUPDATESETUP.EXE
  delall %SystemDrive%\USERS\VERA\APPDATA\LOCAL\TEMP\{3EE64216-CC3F-4969-9456-AC1B3E4D2081}-GOOGLEUPDATESETUP.EXE
  delref %SystemDrive%\USERS\VERA\APPDATA\LOCAL\TEMP\CHROME_BITS_3148_1527\EXTENSION_1_4_8_903.CRX
  delref %SystemDrive%\USERS\VERA\APPDATA\LOCAL\TEMP\CHROME_BITS_1036_1270\EXTENSION_1_4_8_903.CRX
  delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID]
  delref {5AA199A0-1CED-43A5-9B85-3226086738A3}\[CLSID]
  delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
  delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
  delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
  delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
  delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
  delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
  delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
  delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
  delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
  delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
  delref %Sys32%\DRIVERS\BTHLEENUM.SYS
  delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
  delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
  czoo
  restart

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

что с проблемой?

[sjh]

Добрый день.

Не помогло. Проблема осталась.

[regist]

 

 

Проблема осталась.

И по прежнему в ярлыки параметры дописываются?

Опишите подробней какие проблемы остались?

[sjh]

Проблема осталась такая же, как описана в первом сообщении. В ярлыки дописывается параметры. KIS при сканировании памяти находит вирус trojan.multi.wmirun.a. Вроде бы лечит ее, но это помогает только до перезагрузки. Более того, если не выключать ПК некоторое время, то вирус даже после лечения через какой-то промежуток опять появляется в памяти.

[regist]

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[sjh]

Доброе утро.

Результат сканирования Malwarebytes... во вложении.

Сегодня после перезагрузки ярлык Chrome на рабочем столе перестал быть ярлыком (т.е. он остался на столе, но теперь никуда не ссылается).

KIS при сканировании памяти все еще находит вирус trojan.multi.wmirun.a

scan1.txt

[regist]

1) Поместите карантин MBAM найденное.

 

2) Закройте все остальные программы. Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему.  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, , File.Karelia).
 

[sjh]

Поместил в карантин.

Лог от Process Monitor по адресу

http://my-files.ru/nap6ux