Вирус возвращается после ребута, подозрение на Backdoor.Win32.Mirai

[regist]

+

@Blackmeser, с подключённым интернетом сделайте свежий AdwCleaner-а.

Изменено 2 июня, 2017 пользователем regist

[Blackmeser]

Лог запуска: BLACKMESERSSD_2017-06-03_03-48-57.7z

ADW: AdwCleanerS4.txt

[SQ]

Уточните если у Вас браузеры синхронизированы?

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Выполните скрипт в uVS:

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\DRIVE\USER_DEFAULT\APDFLLCKAAHABAFNDBHIEAHIGKJLHALF_LIVE.CRX
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
dirzoo %SystemDrive%\PROGRAMDATA\GOGDLJLOHHPICJGBJIABEKIHHAOBOHEN
delref %SystemDrive%\PROGRAMDATA\GOGDLJLOHHPICJGBJIABEKIHHAOBOHEN
dirzoo %SystemDrive%\PROGRAMDATA\BROWWSE2SIAVEE
deldir %SystemDrive%\PROGRAMDATA\BROWWSE2SIAVEE
restart   

[Blackmeser]

 

Уточните если у Вас браузеры синхронизированы?

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Между собой - нет, не синхронизированы.

С какими-то облачными сервисами, хранящими настройки/вкладки/итд... - только Chrome с гуглом.

 

В ADW больше удалять нечего, там папки и ключи реестра Mail.RU Game Center, хранящие настройки.

HKLM\SOFTWARE\Classes\Interface\{63C40CBE-DE43-4B56-BCEB-E14B825CF245} - запись пустая, от 2014 года. Могу экспортировать.

Firefox - это кажется настройка, но точно не уверен, одно знаю точно - это строки восстанавливаются каждый раз при запуске браузера, хоть заудаляйся. Могу целиком отправить файл.

 

Результат работы скрипта (пароль virus): ZOO_2017-06-03_06-55-25.7z

Лог UVS: 2017-06-03_06-55-25_log.txt

[SQ]

Возможно подмена в Firefox,


Сделайте лог полного сканирования МВАМ

[regist]

@Blackmeser,

 

+

1) не нашёл в вашей теме логи Автологера, если не сложно сделайте и прикрепите новый лог.

 

2)  Выполните скрипт в uVS
 

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref WMI_.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.124\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\PROGRAMDATA\RAZER\SYNAPSE\DEVICES\RAZER SURROUND\DRIVER\X86\RZMAELSTROMVADAUDIODEVICEMANAGER.DLL
delref %SystemDrive%\PROGRAMDATA\RAZER\SYNAPSE\DEVICES\RAZER SURROUND\DRIVER\X86\RZMAELSTROMVADSETTINGSIPC.DLL
delref %SystemDrive%\PROGRAMDATA\RAZER\SYNAPSE\DEVICES\RAZER SURROUND\DRIVER\AMD64\RZMAELSTROMVADSETTINGSIPC.DLL
delref %SystemDrive%\PROGRAMDATA\RAZER\SYNAPSE\DEVICES\RAZER SURROUND\DRIVER\X86\RZMAELSTROMVADSETTINGSSTREAMROT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\SAVASWEB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\SAVWBHF.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\SAVWBRAS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\SAVWBVML.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ICONICS\SCHEDULEWORXCONFIGURATOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\SG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\SOLUTILS.DLL
delref %SystemDrive%\TEMP\SKY4280.TMP
delref %SystemDrive%\PROGRAM FILES (X86)\AVISYNTH CONVERTER PLUS\XPPROGRESSBAR.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\DATAGATH.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\DGRMLNCH.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\DWGDP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\MODELENG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\MPXINT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\OISCTRL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\OUTLFLTR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\PROJMODL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\PROPRPT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\REFEDIT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\UMLVB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\UMLVC60.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\VAOSOLX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\VIEWMODL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\VISGRF.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\VISIO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\VISPRX32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\VISXDATA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE15\EXCEL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\APM WINMACHINE 2009 (V.9.7)\APMGRAPH.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\APM WINMACHINE 2009 (V.9.7)\APMREVITTOSTRUCTURE.DLL
delref J:\AUTORUN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SPLITCAM\DSFILTERS\DECODING\AVISPLITTER.AX
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AVSMEDIA\ACTIVEX\AVSGRAPHICS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AVSMEDIA\ACTIVEX\AVSMOBILEDEVICE2ACTIVESYNC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AVSMEDIA\ACTIVEX\AVSVIDEOCONVERTERHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ICONICS\GENESIS32\BIN\AWXREP32.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BUSINESS OBJECTS\3.0\CRYSTALREPORTVIEWERS11\ACTIVEXCONTROLS\CRVIEWER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\OMRON\CX-SERVER\CXDBMS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\OMRON\DRIVERS\CXSDI_DEVICECONFIGSENSOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\OMRON\CX-SERVER\CXSDI_PTUSBPORT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BATTLELOG WEB PLUGINS\2.1.7\ESNLAUNCHAX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\THE KMPLAYER\KMPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\BLACKMESER\APPDATA\LOCAL\WIRE\APP-2.12.2729\RESOURCES\APP.ASAR\JS\PRELOAD.JS
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\OMRON\COMPONENTS\SERVERIFSERVICE.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %Sys32%\DRIVERS\SIVX64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\CLARUS\SAMSUNG DRIVE MANAGER\SZDBCORE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\AVISYNTH CONVERTER PLUS\BIN\VIDEOCONVERTERAX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\AVISYNTH CONVERTER PLUS\VIDEO_CAMERA_ACTIVEX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\VISIO SHARED\VISFILT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SPLITCAM\DSFILTERS\DECODING\VP7DEC.AX
delref %SystemDrive%\PROGRAM FILES (X86)\AVISYNTH CONVERTER PLUS\WAVPLAYERRECORDERAX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\AVISYNTH CONVERTER PLUS\VBGUI.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\AVISYNTH CONVERTER PLUS\BIN\VBVIDEOPLAYERAX.DLL
delref %Sys32%\DRIVERS\VDMZNJMY.SYS
delref %Sys32%\DRIVERS\VD_FILEDISK.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ICONICS\GENESIS32\BIN\TWXSQLUPSIZE.EXE
delref %Sys32%\DRIVERS\ENTECH.SYS
apply

regt 28
regt 29
restart

3) Сделайте свежий образ автозапуска.

[Blackmeser]

Насчёт Firefox, ADW реагирует на следующие строки:

user_pref("extensions.quick_start.enable_search1", false);

user_pref("extensions.quick_start.sd.closeWindowWithLastTab_prev_state", false);

- это настройка связи с расширением Tab Mix Plus 0.5.0.2 (привязка событий), которое делает более удобное управление вкладками.

 

Остальные настройки Firefox подтёр, капитальное снёс все JS-скрипты внутри конфига, не связанные с плагинами и расширениями, больше ничего не появляется при перезапуске браузера.

 

 

MBAM реагирует на компоненты GameCenterMailRu

 

PUP.Optional.MultiPlug, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{12DA0E6F-5543-440C-BAA2-28BF01070AFA} - это ошмётки какой-то программы, есть только в реесте, файлов нет с 2015 года.

 

PUP.Optional.DriverPack, C:\USERS\BLACKMESER\DOWNLOADS\DRIVERPACK-17-ONLINE_757650541.1471754830.EXE

PUP.Optional.InstallPack, C:\USERS\BLACKMESER\DOWNLOADS\INSTALLPACK_N_508A8.ZIP

- эти паки я делал сам год назад на случай если винда слетит и тестировал в виртуальной машине, с ними всё норм.

 

 

PUP.Optional.MultiPlug, C:\PROGRAMDATA\NTUSER.POL

- внутри текст, содержимое: 

PReg[software\Policies\Microsoft\Windows\Group Policy Objects\Local Group Policy;**Comment:GPO Name: Local Group Policy;;;][software\Microsoft\Windows\CurrentVersion\Policies\Explorer;;;;]

 

PUP.Optional.MultiPlug, C:\PROGRAMDATA\NTUSER.POL

- внутри текст, содержимое: 

PReg[software\Policies\Microsoft\Windows\Group Policy Objects\Local Group Policy;**Comment:GPO Name: Local Group Policy;;;]

 

PUP.Optional.MultiPlug, C:\WINDOWS\SYSTEM32\GROUPPOLICY\MACHINE\REGISTRY.POL

- нет файла и даже папки \MACHINE

 

Остальное PUP.Optional.*, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\*

 - не знаю, но кажется это только кэш и куки.

 

MBAM Log: MBAM.txt

 

AutoLogger: CollectionLog-2017.06.04-02.30.zip

 

UVS: BLACKMESERSSD_2017-06-04_04-55-55.7z

[Blackmeser]

Мне всё, теперь снимать защиту (удалять антивирусы) и смотреть не вылезет ли снова какая-нибудь гадость из своего тайного угла?

PS У меня есть свободное место на одном их харде, и я могу бэкапнуть весь диск С, стоит ли, или ничего не должно вылезти?

[regist]

1) Диск H:\ это у вас что?

 

2) Поместите в карантин MBAM только

PUP.Optional.MultiPlug, C:\PROGRAMDATA\NTUSER.POL, Проигнорировано пользователем, [270], [-1],0.0.0
PUP.Optional.MultiPlug, C:\USERS\BLACKMESER\NTUSER.POL, Проигнорировано пользователем, [270], [-1],0.0.0
PUP.Optional.MultiPlug, C:\WINDOWS\SYSTEM32\GROUPPOLICY\MACHINE\REGISTRY.POL, Проигнорировано пользователем, [270], [-1],0.0.0
PUP.Optional.HDApp, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\https_hdapp1008-a.akamaihd.net_0.localstorage, Проигнорировано пользователем, [15590], [256894],1.0.2079
PUP.Optional.HDApp, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\https_hdapp1008-a.akamaihd.net_0.localstorage-journal, Проигнорировано пользователем, [15590], [256894],1.0.2079
PUP.Optional.MailRu, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\HTTPS_AD.MAIL.RU_0.LOCALSTORAGE, Проигнорировано пользователем, [1003], [398943],1.0.2079
PUP.Optional.eShopComp, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\https_pstatic.eshopcomp.com_0.localstorage, Проигнорировано пользователем, [15569], [255829],1.0.2079
PUP.Optional.eShopComp, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\https_pstatic.eshopcomp.com_0.localstorage-journal, Проигнорировано пользователем, [15569], [255829],1.0.2079
PUP.Optional.eShopComp, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_pstatic.eshopcomp.com_0.localstorage, Проигнорировано пользователем, [15569], [255829],1.0.2079
PUP.Optional.eShopComp, C:\USERS\BLACKMESER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_pstatic.eshopcomp.com_0.localstorage-journal, Проигнорировано пользователем, [15569], [255829],1.0.2079

3) MBAM деинсталируйте.

 

4) Проверяйте проблему. Бэкап всего диска делать не обязательно (хотя бэкап всегда полезен), вирус удалён.

Изменено 4 июня, 2017 пользователем regist

[Blackmeser]

Диск H:\ - это старый SATA-2 хард на 320ГБ с периодически появляющимися бэдами, там у меня Steam, виртуальные машины и медиасвалка.

В карантин отправил, MBAM удалил.

Вечером сегодня или завтра попробую забэкапить диск С акронисом, удалю нод32, подожду денёк и отпишу сюда результат.

[regist]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Одиночная Игра Star Trek Voyager Elite Force.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Голоматч Star Trek Voyager Elite Force.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Readme (TEXT).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Readme (HTML).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Elite Force Expansion Pack Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Register (Available in North America only).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Activision Website.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\Activision.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Activision Support.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\Activision Support.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Raven Software.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\Raven.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\EarthLink.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\EarthLink.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\PlanetEliteForce.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\Planeteliteforce.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Gaming.StarTrek.com.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\gaming.startrek.com.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\ScreenThemes.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\ScreenThemes.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\StarTrek.com.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\StarTrek.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startrack\Wildstorm Comics.lnk
H:\Games\StarTrek Voyager Elite\EForceXP\Extras\Wildstorm.url
C:\Users\Blackmeser\AppData\Local\Microsoft\Windows\GameExplorer\{D7109EE4-B219-434A-9D2C-8837FBD3499B}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2008\Средства настройки\Центр установки SQL Server (64-разрядная версия).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Lasso\Документация\Документация.lnk
C:\Users\Blackmeser\Links\GodMode.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StreamTransport\Help.lnk
C:\Program Files (x86)\StreamTransport\Help.url
C:\Users\Blackmeser\AppData\Local\Microsoft\Windows\GameExplorer\{8104F1AF-C43E-41A3-9AF8-1C9CD054A7A8}\PlayTasks\0\Играть.lnk
C:\Users\LogMeInRemoteUser\AppData\Roaming\Microsoft\Windows\SendTo\TeamViewer.lnk
C:\Users\Blackmeser\AppData\Local\Microsoft\Windows\GameExplorer\{E64D1829-284F-449E-B6D3-7B7DC6B373F1}\PlayTasks\0\Играть.lnk
C:\Users\Blackmeser\AppData\Local\Microsoft\Windows\GameExplorer\{042A8FE4-17DC-426C-8D65-CA59A03B3FD5}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{23047CE2-A210-4E14-97B8-0F698C9BCAF3}\PlayTasks\0\Play.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{23047CE2-A210-4E14-97B8-0F698C9BCAF3}\PlayTasks\1\readme.txt.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Справка (на английском).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Справка (на русском).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unity 5.5.0f3 (64-bit)\Unity Documentation.lnk
C:\Users\Blackmeser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Friendly Chat.lnk

Эти ярлыки ссылаются на не существующие файлы. Если захотите их по быстрому удалить, то просто исправьте их с помощью утилиты ClearLNK. При этом если файл перемещён, а не удалён, то попробует найти куда и исправить ярлык.

Изменено 5 июня, 2017 пользователем regist

[Blackmeser]

Вручную их снесу. Спасибо.

Изменено 5 июня, 2017 пользователем Blackmeser

[Blackmeser]

Третий день без NOD32, ~6 ребутов, полёт нормальный, винда как и изначально грузится без задержек с чёрными экранами, лишних процессов не наблюдается, странного поведения системы нет.

Проблему можно считать окончательно решённой.

Большое спасибо за помощь.

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Blackmeser]

 

Поиск критических уязвимостей

Накопительное обновление безопасности для браузера Internet Explorer

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/04/ie11-windows6.1-kb4014661-x64_6538ca325f6fd30c72c8fa375cbaf47a9adbab5b.msu

 

UAC (контроль учётных записей) отключён.

http://windows.microsoft.com/ru-ru/windows/turn-user-account-control-on-off

 

Opera 1.0 устарела. Удалите её или установите новую

http://www.opera.com/browser/download

 

Обнаружено уязвимостей: 3

IE у меня отключен в системе, браузера нет.

UAC как по мне так дырка, только мешает. И отнимает очень много времени, когда вручную что-то делаешь с системой.

У меня нет Оперы 1.0, только Opera Beta 46 и Opera 12.18 (для специфических задач).