trojan-dropper.win32.agent.kwoi - комп 5

[Sandor]

Свежий лог SecurityCheck покажите.

 

Сделайте также свежий лог Malwarebytes' Anti-Malware

[hardfin]

Готово

malware.txt

SecurityCheck.txt

[Sandor]

Контроль учётных записей все-таки не включен. Почему?

 

Auslogics BoostSpeed рекомендовано к деинсталляции. Почему не удалили?

Удалите и после этого:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[hardfin]

Удаляли.

AdwCleanerS01.txt

[Sandor]

Запустите frst64.exe, в поле Search введите

Auslogics BoostSpeed

нажмите Registry Search. Итоговый файл SearchReg.txt приложите к следующему сообщению.

[hardfin]

Готово

SearchReg.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Auslogics BoostSpeed 5.4.0.5]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Auslogics BoostSpeed_addon]
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

На этом компьютере пользователь работает с правами администратора? Пароль на отключение антивируса задан?

[hardfin]

Готово.

Да, работает с правами администратора. Отключаем антивирус через security center.

Fixlog.txt

[Sandor]

работает с правами администратора

Плохо.

 

Отключаем антивирус через security center.

Переформулирую вопрос - пользователь самостоятельно может отключить антивирус?

 

К чему это я?

Вредонос известный, антивирус успешно с ним справляется. Значит есть причины, по которым он снова попадает в систему.

И причины эти скорее всего "организационные", а не "технические".

[hardfin]

Пользователь самостоятельно не может отключить антивирус

[Sandor]

Сейчас заражение повторяется или нет?

[hardfin]

По прежнему есть проблемы

Отчет о вирусах PC215.txt

[Sandor]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[hardfin]

Готово

PC215_2019-04-24_11-03-04_v4.1.4.7z

[Sandor]

Файл

C:\SBERSIGN\TOOLS\START.EXE

отправьте на https://www.virustotal.com/ru/(при необходимости выберите "Повторно"). Ссылку на результат покажите.