Требуется помошь в удалении вируса

[Sppt]

Собственно проблема в следующем. 
Где-то неделю назад поймали вирус, который периодически кидал в БСОД комп и просто затормаживал его работу. Долго пытался его выковырять, куриетом каспер ремовалом, малваребайтом, нодом и нифига. Каждый антивирь что-то нашел и удалил, но по результатам этот вирь как сидел так и сидит. Переодически он штампует файлики которые радостно находит и удаляет нод (файлик ВИРУС!!)
Помогите найти и удалить эту фигню.

 

Строгое предупреждение от модератора thyrex

Не прикрепляйте вредоносы к сообщению

CollectionLog-2017.06.20-15.43.zip

[thyrex]

Выполните скрипт в AVZ

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start1','command');
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[Sppt]

Скрипт выполнил. Вот новый лог

CollectionLog-2017.06.20-16.08.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Sppt]

Вот. Еще там создался лог Shortcut его нужно?

FR.rar

[thyrex]

Что сейчас с проблемой?

[Sppt]

Сейчас запустил еще раз куреит. Он нашел вот такое 

Нод по прежнему ругается и файлики с вирем штампуются

Изменено 20 июня, 2017 пользователем Sppt

[thyrex]

Вряд ли в файлах 1С может быть вирус.

 

Файлы появляются в папках с общим доступом на сервере?

[Sppt]

Вряд ли в файлах 1С может быть вирус.

 

Файлы появляются в папках с общим доступом на сервере?

Это не сервер, это комп который когда-то был сервером. В настройках куреита включена проверка всего. Вот он все и проверяет.

[thyrex]

Я ориентируюсь на установленную систему. На вопрос о месте появления вирусов так и не ответили

[Sppt]

Я ориентируюсь на установленную систему. На вопрос о месте появления вирусов так и не ответили

Фаил появляется в C:\Windows

Также после перезагрузки нод находит пару бат файлов в windows\debug 

Изменено 20 июня, 2017 пользователем Sppt

[thyrex]

Сделайте лог полного сканирования МВАМ

[Sppt]

Вот. Эти вирусы также появляюется в реестре после каждой перезагрузки компа

mb.rar

[thyrex]

Удалите в МВАМ все, кроме

 

HackTool.Patcher, C:\TCPU59\PROGRAMM\OPPLEILIST\OPPLEILIST.EXE, Проигнорировано пользователем, [2050], [355596],1.0.2196

HackTool.Agent, C:\TCPU59\PROGRAMM\WPA_KILL\CRYPT.DLL, Проигнорировано пользователем, [452], [146769],1.0.2196

[Sppt]

так уже, но толку по прежнему 0