Самовосстанавливающийся ауторан-вирус-2

[cognito]

Примерно месяца 3 назад на моём домашнем компе рухнула Windows 7 (не загружается, чёрный экран)
Как его чистили, смотрите здесь https://forum.kasperskyclub.ru/index.php?showtopic=55923

Сейчас этот комп вполне себе функционирует.

А примерно месяц назад подруга жены привезла мне свой системник, на котором тоже рухнула Windows 7.
На обоих компах Зоркий глаз обнаруживает ауторан, Но обезвредить его не может. (видимо, он умеет самовосстанавливаться)
Ни один из других пяти антивирусов, которыми я сканировал жесткие диски этих компов (с перерывом в месяц) его вообще не видит.

Поэтому пришла идея обратиться на этот форум.

Прошу помочь обезвредить это вирус.

Сразу прилагаю архив логов AVZ

CollectionLog-2017.06.08-23.32.zip

[regist]

@cognito, это тот файл, который вы мне сейчас в ЛС скинули? Тут даже не обязательно структуру ярлыка смотреть и так по названию понятно, что это

 

Ярлык для Локальный диск (D)

но сам файл проверил это то чем называется. Ярлык на ваш диск Д.

 

Так что удалите свой Зоркий глаз подальше, нервы будут целее, всё равно пользы от него как уже писал практически нет. А вот фолсы как видите есть и даже простой авторан он не может удалить, который вы сами без труда удалили .

Логи пока не смотрел, сейчас гляну.

И Download Master у вас ещё стоит или уже удалён?

__________

Как и предполагал, вирусов у вас нет. Но слегка мусор от удалённых программ зачистить можно. Download Master предполагаю, что уже удалён.

 

1) Удалите остатки Панды.

2) "Пофиксите" в HijackThis:

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Extra context menu item: Закачать при помощи Download Master - (no file)
O8 - Extra context menu item: Передать на удаленную закачку DM - (no file)
O9 - Extra 'Tools' menuitem: Add to Local Website Archive - HKCU\..\{6798DB50-EE8E-424C-853B-31E6B914DAE2} - C:\Program Files\Local Website Archive\wsarc_add.exe (file missing)
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Users\User\AppData\Roaming\Mail.Ru\Agent\magent.exe (file missing)
O9 - Extra button: (no name) - HKCU\..\{6798DB50-EE8E-424C-853B-31E6B914DAE2} - C:\Program Files\Local Website Archive\wsarc_add.exe (file missing)
O9 - Extra button: (no name) - HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: Add to Local Website Archive - HKCU\..\{A3A120C3-C96C-4DA8-AC6B-6FE9BEF760B4} - C:\Program Files\Local Website Archive\wsarc_add.exe (file missing)
O9 - Extra button: Mail.Ru Агент - HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Users\User\AppData\Roaming\Mail.Ru\Agent\magent.exe (file missing)
O9 - Extra button: Start Local Website Archive - HKCU\..\{E03CE863-0391-44AB-A1B2-06DB3874E3BB} - C:\Program Files\Local Website Archive\wsarc.exe (file missing)

 

3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

4) Эти две программы советую деинсталировать :)

IObit Uninstaller [20170110]-->"C:\Program Files\IObit\IObit Uninstaller\unins000.exe"
Зоркий глаз, версия 5.409 [20170601]-->"C:\Program Files\Зоркий глаз\unins000.exe"

[cognito]

 

 

это тот файл, который вы мне сейчас в ЛС скинули? Тут даже не обязательно структуру ярлыка смотреть и так по названию понятно, что это Цитата   Ярлык для Локальный диск (D) но сам файл проверил это то чем называется. Ярлык на ваш диск Д.   Так что удалите свой Зоркий глаз подальше, нервы будут целее, всё равно пользы от него как уже писал практически нет. А вот фолсы как видите есть и даже простой авторан он не может удалить, который вы сами без труда удалили

Да, это тот. Честно говоря, я и сам был удивлён этому файлу.

Но ЗГ не поддерживается с 2012 г, поэтому в нём не исключены ошибки, ведь среда-то меняется.

Удалять ЗГ не буду, потому что это единственный антивирус, который спас нашу школу от эпидемии вирусов, распространяемых через флэшки (которые с флэшек заражают компьютеры, а потом  компьютеры заражают флэшки. И которые, как правило, скрывают всё содержимое флэшки) И до сих пор спасают.

 

Все Ваши рекомендации сейчас выполню.

[regist]

 

 

Удалять ЗГ не буду, потому что это единственный антивирус

Это не антвирус, а всего лишь антивирусная утилита.

 

А эпидемия флешек с вирусами решается отключением автозапуска с флешек, а не установкой всяких непонятных утилит.

 

+ Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[cognito]

3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Выполните скрипт в AVZ при наличии доступа в интернет

 

-Выполнил, часто используемых уязвимостей не обнаружено

 

Эпидемия флешек с вирусами решается отключением автозапуска с флешек, а не установкой всяких непонятных утилит.

 

-А как обезвредить заражённые компы?

Check_Browsers_LNK.log

[regist]

 

 

-А как обезвредить заражённые компы?

Если уже заразились, то создаёте тему тут отдельно по каждому заражённому компу, индивидуально каждый пролечим .

 

 

Check_Browsers_LNK.log 11,24К скачиваний 0

не то прикрепили, перечитайте внимательно, что нужно было.

[cognito]

Извиняюсь, не то отправил

Если уже заразились, то создаёте тему тут отдельно по каждому заражённому компу, индивидуально каждый пролечим.

 

-А если заражены 50 машин? Это долго.

А ЗГ защищает реально компы от заражения. Правда, не знаю, чистит ли компы. Флэшки точно чистит.

Это говорю Вам как практик. Ничего личного, только истина.

ClearLNK-09.06.2017_01-45.log

[regist]

 

 

А ЗГ защищает реально компы от заражения.

не надо быть таким легковерным.

 

 

Это говорю Вам как практик. Ничего личного, только истина.

Я тоже на практике смотрел эту утилиту ещё несколько лет назад, когда автор ей занимался. И тогда у меня о ней было тоже самое мнение, что и сейчас.

 

Но это уже офтопп.

[cognito]

@regist,

 

Логи ClearLNK-09.06.2017_01-45.log, будьте добры, посмотрите 

[regist]

Это просто слегка мусор прибрали, так что тут и смотреть почти нечего. И этот лог я ещё в 7-ом сообщение посмотрел.

Тут нормально всё.

Удачи .

[cognito]

.

Удачи .

Спасибо. А ЗГ теперь молчит.