Касперский не справляется с вирусом

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[АMA]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 12.04.2018 19:58:30

Path starting: C:\Users\USER\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: USER

VersionXML: 4.94is-11.04.2018

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) HomePremium Lang: Russian(0419)

Дата установки ОС: 01.06.2013 11:55:35

Статус лицензии: Windows® 7, HomePremium edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files\Internet Explorer\iexplore.exe

Системный диск: C: ФС: [NTFS] Емкость: [68.3 Гб] Занято: [56.7 Гб] Свободно: [11.6 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18015 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен (Уровень 3)

Уведомлять о загрузке и установке обновлений

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2010 x86 v.14.0.7015.1000

---------------------------- [ Antivirus_WMI ] ----------------------------

Kaspersky Internet Security (включен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Internet Security (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Internet Security (включен и обновлен)

Windows Defender (включен и устарел)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Secure Connection v.17.0.0.611

Kaspersky Internet Security v.17.0.0.611

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.50 (64-bit) v.5.50.0

7-Zip 9.30 (x64 edition) v.9.30.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

OpenOffice.org 3.4 v.3.4.9590 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Viber v.6.8.2.878

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 151 (64-bit) v.8.0.1510.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^

Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^

Java 7 Update 51 v.7.0.510 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u162-windows-i586.exe).

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Shockwave Player + Authorware Web Player v.v11.6.4.634 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player.

Adobe Reader X (10.1.2) - Russian v.10.1.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Я.Браузер v.18.1.1.839 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Google Chrome v.65.0.3325.181

Opera 12.14 v.12.14 Внимание! Скачать обновления

----------------------------- [ EmailClient ] -----------------------------

Windows Live Mail v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.

Почта Windows Live v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.65.0.3325.181

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 17.0.0 (AVP17.0.0) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe v.17.0.0.611

klvssbrigde64 (klvssbrigde64) - Служба остановлена

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avpui.exe v.17.0.0.643

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksde.exe v.17.0.0.611

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksdeui.exe v.17.0.0.643

Защитник Windows (WinDefend) - Служба работает

---------------------------- [ UnwantedApps ] -----------------------------

MadLen.uCoz.coM Toolbar Внимание! Подозрение на Adware![/c

[thyrex]

Выполните рекомендованное, в т.ч. и удаление MadLen.uCoz.coM Toolbar, и на этом закончим

[АMA]

Спасибо!

[АMA]

Обнаружено МЕМ:Rootkit.Win64.EquationDrug.a

Расположение: System Memory. Ничего не помогло

[thyrex]

Делайте новые логи по правилам

[АMA]

Прикрепила

CollectionLog-2018.04.15-19.09.zip

[thyrex]

В архиве не хватает логов. Переделывайте

[regist]

 

 

В архиве не хватает логов.

возможно та известная бага старого AVZ.

 

@АMA, попробуйте собрать логи этой версией.

[АMA]

Вот

CollectionLog-2018.04.15-19.57.zip

[thyrex]

Выполните скрипт в AVZ

begin
ExecuteFile('schtasks.exe', '/delete /TN "{15CA0085-A5F4-48CD-AD85-C3C90CCFAC70}" /F', 0, 15000, true);
 DelBHO('{8dec4b69-27c4-405d-a37d-8d45c83f66ab}');
ExecuteSysClean;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

+

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[АMA]

Выполнила всё как вы сказали

1_2018-04-15_20-56-04.7z

[regist]

1) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

2)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.11 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_151\BIN\JAVACPL.EXE
   delref F:\AUTORUN.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.7.0_51\BIN\WSDETECT.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MADLEN.UCOZ.COM\TBMADL.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
   delref D:\GAMES\DROID4X\DROID4XSERVICE.EXE
   delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7BF0D3199E-ABF8-4A1B-8602-BEEB5B938728%7D&GP=811014
   delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7BF403E7D4-C48C-4161-BDEA-103DF117A604%7D&GP=811014
   delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
   delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
   delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
   delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
   delref %SystemDrive%\USERS\USER\DOWNLOADS\THEWORTEX.EXE
   delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_151\BIN\DTPLUGIN\NPDEPLOYJAVA1.DLL
   delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_151\BIN\PLUGIN2\NPJP2.DLL
   delref D:\PIRATES_LEGEND_OF_JACK_SPARROW\PIRATESLOJS.EXE
   delref %SystemDrive%\GAMES\MINECRAFT - PIRATES OF THE CARIBBEAN\PLAY CRACKED.EXE
   apply
   
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
   

 

3)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

4) https://support.kaspersky.ru/12407

Эта настройка включена? Если нет включите.

[АMA]

Вроде так

ClearLNK-2018.04.16_17.08.50.log

AdwCleanerS00.txt

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.