Помогите удалить вирус

[krpnovosel]

Антивирус касперского тотал секюрити обнаруживает загрузочного трояна, но вылечить или удалить не может, помогите!

добавил отчеты ещё

CollectionLog-2019.10.05-05.20.zip

FRST.txt

Addition.txt

[SQ]

Здравствуйте,

 

HiJackThis (из каталога autologger)профиксить

Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://yambler.net/?im
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text=
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text=
R3 - HKCU\..\URLSearchHooks: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: 31D3DFAx3D - C:\Windows\system32\cmd.exe /c "C:\Users\ALEX\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat"
O23 - Service S2: BDMRTP Service - (BDMRTP) - (no file)
O23 - Service S3: PSPR Control Service - (PSPRSERV) - (no file)

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 SetServiceStart('BDMNetMon', 4);
 SetServiceStart('BDAntiExp', 4);
 SetServiceStart('BDEnhanceBoost', 4);
 QuarantineFile('C:\Users\ALEX\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat', '');
 DeleteFile('C:\Users\ALEX\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat', '64');
 DeleteSchedulerTask('31D3DFAx3D');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Подготовьте лог AdwCleaner и приложите его в теме.

[krpnovosel]

лог AdwCleaner 

https://virusinfo.info/showthread.php?t=223740&p=1505016#post1505016

AdwCleanerS00.txt

AdwCleaner_Debug.log

[SQ]

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[krpnovosel]

Сделал

AdwCleanerS02.txt

AdwCleaner_Debug.log

[SQ]

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[krpnovosel]

сделал

AdwCleanerS03.txt

AdwCleaner_Debug.log

[krpnovosel]

Вот такого показывает трояна

[thyrex]

Отключите ВСЕ установленные в браузерах расширения и проверьте проблему.

[krpnovosel]

Отключил все установленные в браузерах расширения 

Отключил все установленные в браузерах расширения 

Обнаружено: Trojan.Multi.BroSubsc.gen

Расположение: System Memory

AdwCleanerS06.txt

AdwCleaner_Debug.log

[thyrex]

Очистите отчеты антивируса с найденными угрозами, перезагрузите компьютер. Выполните проверку антивирусом и сообщите результат.

[SQ]

Если проблема будет воспроизводиться и дальше приложите пожалуйста следующий лог:

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[krpnovosel]

При полной проверке Kaspersky Total Security вирусов не находит. Но время от времени продолжает вылазить окно с попыткой лечить TROJAN.MULTI.BROSUBSC.gen 

 

Описание

Зловреды этого семейства устанавливаются в браузеры обманным путём на мошеннических и рекламных ресурсах и показывают рекламные уведомления, даже если окно браузера не активно.

Окна с рекламой в браузере хром постоянно вылазят.

ALEX-INC_2019-10-08_21-13-47_v4.1.7.7z

[SQ]

Закройте и сохраните все открытые приложения.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
zoo %SystemDrive%\PROGRAM FILES (X86)\ITOOLS 3\ITOOLS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

После выполнения ПК перегрузиться.

 

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите этот архив через данную форму

 

.

 

Браузер хром у Вас синхронизирован? 

[krpnovosel]

скрипт выполнил, перезагрузился, но архива ZIP с именем, начинающимся с ZOO_  не появилось.

Браузер хром - да, синхронизирован