KIS находит вирус во временной папке профиля Chrome

[maDmi]

При первом с момента включения ПК запуске Chrome, KIS обнаруживает "Trojan.JS.Miner.m". Ни в Opera ни в Firefox проблема не повторяется.

 

28.04.2018 10.20.17;Обнаруженный объект (файл) удален;C:\Users\Maverick\AppData\Local\Google\Chrome\User Data\Default\Cache\f_0004e8;Google Chrome;C:\Users\Maverick\AppData\Local\Google\Chrome\User Data\Default\Cache\f_0004e8;04/28/2018 10:20:17;Trojan.JS.Miner.m

 

Происходит это спустя примерно минуту. Возможно после моего перехода на постоянно открытую страницу "feedly.com". Пару раз закономерность точно прослеживалась.

Процессор загружается на 100%. В норму все приходит, только после выгрузки Chrome. Удаление найденного файла программой KIS само по себе ситуацию никак не меняет.

 

Проверил дополнительно: если оставить активной вкладку Feedly.com перед закрытием Chrome, то при перезапуске программы загрузка CPU сразу доходит до 100% и KIS находит очередной файл. Если страницу не активировать, а переходить по остальным из открытых - ничего не происходит.

 

CureIt! ничего не нашел.

CollectionLog-2018.04.28-10.03.zip

Изменено 28 апреля, 2018 пользователем maDmi

[Sandor]

Здравствуйте!

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[maDmi]

Выполнил.

AdwCleanerS01.txt

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[maDmi]

Выполнил.

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction <==== ATTENTION
  S1 ISODrive; \??\C:\Users\Maverick\AppData\Local\Temp\UISO\drivers\ISODrv64.sys [X] <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[maDmi]

Выполнил.

Fixlog.txt

[Sandor]

Версию антивируса обновите до актуальной. Понаблюдайте.

[maDmi]

Хорошо.