Trojan.Multi.GenAutorunTask.a проблемы с удалением

[Khein]

Здравствуйте! Появилась проблема — Kaspersky Free засигналил, что на компьютере есть угрозы. Провёл проверку, были найдены три файла —Trojan.Multi.GenAutorunTask.a b c. Дальше провёл удаление. Антивирус их якобы удалил, но при этом при подробном изучении у Trojan.Multi.GenAutorunTask.a написано, что он не обработан был. Поискав по форумам я понял, что это серьёзная проблема и так просто всё вряд ли закончится. Поэтому, хотя никаких следов присутствия вируса мной замечено пока не было, я решил обратиться на форум с просьбой проверить логи и помочь, если что-то не так. 
Заранее спасибо, логи вот: 

CollectionLog-2019.03.17-23.18.zip

Изменено 17 марта, 2019 пользователем Khein

[SQ]

Здравствуйте,

Добро пожаловать на форум.

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

[Khein]

Прикрепляю.
P.s. извиняюсь за обращение в лс — произошла ошибка.

Addition.txt

FRST.txt

[SQ]

Вам известны ли Вам следующие файлы?
 

C:\WINDOWS\system32\Elan_FP_Image_20190228_230857.txt
C:\WINDOWS\system32\Elan_FP_Image_20190228_223550.txt
C:\WINDOWS\system32\Elan_FP_Image_20190227_190730.txt
C:\WINDOWS\system32\Elan_FP_Image_20190227_161703.txt
C:\WINDOWS\system32\Elan_FP_Image_20190226_190905.txt
C:\WINDOWS\system32\Elan_FP_Image_20190224_015505.txt
C:\WINDOWS\system32\Elan_FP_Image_20190222_185847.txt
C:\WINDOWS\system32\Elan_FP_Image_20190222_170356.txt

Сами создавали пользователя?

Z (S-1-5-21-2001458655-4086600240-1557119120-1001 - Administrator - Enabled) => C:\Users\Z

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  File: C:\Program Files\WindowsApps\Microsoft.ZuneVideo_10.18082.13811.0_x64__8wekyb3d8bbwe\Video.UI.exe
  FF HKLM-x32\...\Firefox\Extensions: [light_plugin_A07576A3CEBC4A72A8CF2C925907DB05@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 18.0.0\FFExt\light_plugin_firefox\addon.xpi => not found
  File: C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
  File: C:\WINDOWS\system32\MBR2GPT.EXE
  File: C:\WINDOWS\system32\sethc.exe
  File: C:\WINDOWS\system32\utilman.exe
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Khein]

Файлы мне не известны, пользователь вроде как был создан мной, но вирус располагался как раз в папке C\windows\system32\tasks\Z. Файл прикрепляю.

Fixlog.txt

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[Khein]

Сделал.

LAPTOP-I5FRUR60_2019-03-18_13-12-17_v4.1.3.7z

[SQ]

Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
delref %Sys32%\DRIVERS\72622448.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\USERS\Z\APPDATA\LOCAL\TEMP\WCT17AD.TMP
deltsk %SystemRoot%\TEMP\46426B2F-43E9-42B7-B622-F7D71B0BD8AC
restart

[Khein]

Выполнил, нужно ли присылать какую-то информацию? (Архива с префиксом ZOO, как и папки ZOO в папке UVS не нашёл, хотя в гайде выполнения скрипта написано, что он должен там появиться).

[SQ]

Если карантина zoo нет, то нет. Сообщите, что с проблемой?

[Khein]

Своей деятельности он никак не проявляет, как и раньше. Сканирование тоже ничего не находит. Надеюсь, проблема решена, если что-то изменится — напишу на форум ещё раз. Большое спасибо за помощь!
P.S. надо ли что-то сделать после устранения угрозы?

[SQ]

В завершение:
1.

• 
     
• Пожалуйста, запустите adwcleaner.exe
     
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
     
• Подтвердите удаление, нажав кнопку: Да.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

P.S. Убедитесь, чтобы всегда были установлены все критические обновления Windows и не оставляйте ваш ПК без активной антивирусной зашитой.

[Khein]

Ещё раз большое спасибо!