Автоматически создается файл start_page.exe в темпе

**vavvrn** · 08.12.2016, 08:53

Здравствуйте. После непредусмотрительно запущенного файла, скачанного с интернета на компе появился вирус, который не удалился даже после полной проверки компа Касперским.
Признаки такие:
Обнаружил постоянно появляющийся файл startpm.exe в c:\Users\vasiliev\AppData\Local\Temp\. После удаления вновь создается
Обнаружил файл future_helper.exe в c:\Program Files (x86)\ScreenUp\ Файлы из папки не удаляются (отсутствует доступ к файлу)
Обнаружил папку svshost c файлом svshost.exe в c:\Users\vasiliev\AppData\Local\. Удалил папку с файлом.
В AVZ пробовал выполнять такой скрпит:
begin
DeleteFile('C:\Users\Mikle\AppData\Local\SystemDir \startpm.exe');
DeleteFileMask('C:\Users\Mikle\AppData\Local\Syste mDir', '*', true, ' ');
DeleteDirectory('C:\Users\Mikle\AppData\Local\Syst emDir');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
Не помогло.
Выкладываю также скрин с Касперского.
Помогите пожалуйста исправить ситуацию

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.12.2016, 08:54

Уважаемый(ая) vavvrn, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 09.12.2016, 07:51

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\vasiliev\appdata\local\filterstart\filterstart.exe');
 QuarantineFile('c:\users\vasiliev\appdata\local\filterstart\filterstart.exe', '');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '');
 DeleteFile('c:\users\vasiliev\appdata\local\filterstart\filterstart.exe', '32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '32');
 DeleteFile('C:\Users\vasiliev\AppData\Local\svshost\svshost.exe', '32');
 DeleteFileMask('c:\users\vasiliev\appdata\local\filterstart', '*', true);
 DeleteFileMask('c:\program files (x86)\screenup', '*', true);
 DeleteFileMask('c:\users\vasiliev\appdata\local\svshost', '*', true);
 DeleteDirectory('c:\users\vasiliev\appdata\local\filterstart');
 DeleteDirectory('c:\program files (x86)\screenup');
 DeleteDirectory('c:\users\vasiliev\appdata\local\svshost');
 ExecuteFile('schtasks.exe', '/delete /TN "Custom System Helper" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Private Additional Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Request System Manager" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ewrcuzhwef');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**vavvrn** · 09.12.2016, 09:16

Все выполнил, карантин загрузил. Образ автозапуска прикладываю

**Vvvyg** · 09.12.2016, 21:56

Выполните скрипт в uVS:

Код:

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
; C:\WINDOWS\SERVICEMGR.SYS
zoo %SystemRoot%\SERVICEMGR.SYS
addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2AAB8DAF29BD805BF5C3573E559D492B80849FEEF149FADD6EE8727D3BB02C2D77A42FC7062273 28 Trojan.Triosir.687 [DrWeb]
cexec tools\CreateRestorePoint.exe BeforeCure
uidel  C:\Program Files (x86)\ScreenUp\uninst.exe
;------------------------autoscript---------------------------

chklst
delvir

deldir %SystemDrive%\USERS\VASILIEV\APPDATA\LOCAL\MAIL.RU

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
;-------------------------------------------------------------

delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=811008
delref HTTP:\\RIGNEDA.RU\?UTM_SOURCE=STARTLINK03&UTM_CONTENT=ADBF052057E305ED7ECCE74202676864&UTM_TERM=9DBCBBCB72C7BEF1183DF862CD589C23&UTM_D=20161207
delref %SystemDrive%\USERS\VASILIEV\APPDATA\LOCAL\TEMP\CHROME_BITS_4332_9507\13.79.1_WIN_SOFTWAREREPORTER.CRX
deltmp
czoo
restart

Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.