Вирусы на ПК

[drivemesky 0]

Добрый день.

На компьютере постоянно появляются папки на диске С. Создаются древа папок с подобными маршрутами:

 

C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\Users\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

C:\Users\администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

 

Так эти объекты идентифицирует Kaspersky free:

18.12.2019 16.55.01;Обнаруженный объект (файл) больше не доступен;C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe;C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe;Worm.NSIS.BitMin.d;Вирус;12/18/2019 16:55:01

 

Проверял cureit, malwarebytes anti-malware, adwcleaner. Ничего не обнаруживают.

Установил все актуальные обновления windows. Не помогло.

 

Помогите пожалуйста справиться.

 

 

 

 

 

 

CollectionLog-2019.12.18-17.03.zip

[Sandor 792]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '');
 QuarantineFile('C:\Users\Admin\Start Menu\Programs\Startup\VID001.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\VID001.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe', '64');
 DeleteFile('C:\Users\Admin\Start Menu\Programs\Startup\VID001.exe', '');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\VID001.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[drivemesky 0]

Скрипт выполнил. Новый лог прикрепил.

CollectionLog-2019.12.19-09.24.zip

[Sandor 792]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[drivemesky 0]

Прикрепил.

Addition.txt

FRST.txt

[Sandor 792]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-449436407-1327551154-1634903953-1000\...\MountPoints2: {1dd7e8ea-b800-11e8-a412-309c230be120} - G:\wpi\MInst.exe
  GroupPolicy: Restriction ? <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [458]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[drivemesky 0]

Сделал и потерял все вкладки в браузере )

Fixlog.txt

[Sandor 792]

Что сейчас с первоначальной проблемой?

[drivemesky 0]

Все пакостные папки на прежнем месте )

[Sandor 792]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[drivemesky 0]

Проверил, отчет uvs прикрепил

ODUK_2019-12-19_17-33-29_v4.1.8.7z

[Sandor 792]

Общие ресурсы:

D:\Users\Admin\Desktop\Scan

D:\Soft

C:\Users

D:\Users\Admin\Desktop\ДШИ

под паролем?

 

Проверим другие уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[drivemesky 0]

Да, запаролены, но на диск С доступ я не открывал. Благодарю, прикрыл к нему доступ.

SecurityCheck.txt

[Sandor 792]

------------------------------- [ Windows ] -------------------------------

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

------------------------------- [ HotFix ] --------------------------------

HotFix KB3125574 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4499175 Внимание! Скачать обновления

HotFix KB4512486 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 32 ActiveX v.32.0.0.293 Внимание! Скачать обновления

Adobe Acrobat Reader DC MUI v.18.011.20058 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

FlashPeak SlimBrowser 64bit v.11.0.7.0 Внимание! Скачать обновления

 

 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor 792]

После того, как закроете уязвимые места (ссылки из предыдущего сообщения), соберите свежий образ автозапуска uVS. AutorunsVTchecker уже запускать не нужно.