MEM:Trojan-Spy.Win32.Agent.gen Не лечится антивирусом

[Maxim38]

Ребенок скачал какой то файл с интернета. Открыл его. Антивирусная программа удалила большую часть. Но этот Троян остался. 

Так же он создает поисковую страницу https://cse.google.com/ Пожалуйста помогите удалить. Не хочется сносить Винду

CollectionLog-2018.10.01-06.39.zip

Изменено 1 октября, 2018 пользователем Maxim38

[SQ]

Здравствуйте,

 

Удалите остатки антивируса Avast. В системе имеются остатки.

 

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.

[Maxim38]

К сожалению я не знаю, и не вижу где и как удалить остатки антивируса Аваст. В каких местах он может быть? 

Я воспользовался утилитой Удаления Аваст которую вы предоставили. Но я использовал ее и ранее

AdwCleanerS08.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Maxim38]

Готово

Addition.txt

FRST.txt

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  File: C:\Windows\system32\Codecs\UpdateChecker.exe
  Folder: C:\Windows\system32\Codecs
  CHR Extension: (Tampermonkey) - C:\Users\Bearr\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2018-09-30]
  File: C:\Windows\system32\DRIVERS\AdminService.exe
  Virustotal: C:\Windows\system32\DRIVERS\AdminService.exe
  U3 aswbdisk; no ImagePath
  Folder: C:\Users\Default\AppData\Local\Microsoft Help
  Folder: C:\Users\Default User\AppData\Local\Microsoft Help
  Folder: C:\Users\Bearr\AppData\Roaming\Zona
  Folder: C:\ProgramData\CanonIJScan
  Folder: C:\ProgramData\CanonIJEPPEX2
  Folder: C:\ProgramData\CanonEPP
  Folder: C:\ProgramData\CanonIJWSpt
  Folder: C:\Program Files\CanonBJ
  Folder: C:\Windows\system32\CanonIJ Uninstaller Information
  Folder: C:\Windows\hsperfdata_Bearr
  Folder: C:\Users\Bearr\ansel
  2018-08-26 16:45 - 2018-10-01 09:57 - 000000000 ____D C:\Program Files\Common Files\AVAST Software
  2018-08-26 16:45 - 2018-08-27 10:29 - 000000000 ____D C:\Users\Bearr\AppData\Local\AVAST Software
  2018-08-26 16:45 - 2018-08-26 16:45 - 000000000 ____D C:\Windows\System32\Tasks\Avast Software
  2018-08-26 16:44 - 2018-10-01 09:58 - 000000000 ____D C:\Users\Все пользователи\AVAST Software
  2018-08-26 16:44 - 2018-10-01 09:58 - 000000000 ____D C:\ProgramData\AVAST Software
  2018-08-26 16:43 - 2018-08-26 16:43 - 000000000 ____H C:\Users\Все пользователи\DP45977C.lfl
  2018-08-26 16:43 - 2018-08-26 16:43 - 000000000 ____H C:\ProgramData\DP45977C.lfl
  File: C:\Windows\system32\audioLibVc.dll
  File: C:\Program Files (x86)\FalcoImageStudioSetup.exe
  2018-09-30 12:50 - 2018-09-30 12:50 - 000187712 _____ () C:\Users\Bearr\AppData\Local\Temp\downloader.exe
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  Task: {45A4D85C-06D9-44F2-ABC4-4C8D660C9FCC} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Maxim38]

Готово

Fixlog.txt

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-3479402109-306959440-3950697058-1001\...\Run: [Codec Pack Update Checker] => "C:\Windows\system32\Codecs\UpdateChecker.exe"
  C:\Program Files (x86)\FalcoImageStudioSetup.exe
  C:\Users\Bearr\ansel
  C:\Windows\hsperfdata_Bearr
  C:\Windows\system32\Codecs
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Maxim38]

Готово

 

Fixlog.txt

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Maxim38]

Готово

DESKTOP-L7H36D9_2018-10-02_10-20-15_v4.0.21.7z

[SQ]

Выполните скрипт в uVS:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
BREG
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
restart

 

[Maxim38]

Готово

2018-10-02_15-14-09_log.txt

[SQ]

Выполните скрипт в uVS:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
BREG
zoo %Sys32%\DRIVERS\NFSTAT.SYS
restart

карантин zoo.zip загрузите этот архив через данную форму
 

[Maxim38]

А какой файл выбрать?