Проблема с удалением троянского ПО BitcoinMiner. ( Taskhostw.exe и MicrosoftHost.exe , а также, файла реестра ) [UDS:Trojan.Win32.Eb]

[Aleksandra]

Папки в programmdata можете удалить руками. Весь мусор из реестра можете почистить с помощью программы Ccleaner, только используйте последнюю версию. А для начала скачайте свежий CureIt и сделайте полную проверку компьютера.

[sapperti]

Aleksandra, папки удалил, система прошла полную проверку, файлы из карантина "uVS" и "AVZ" были "обезврежены". Огромнейшее вам спасибо, пожалуй, лучший сервис онлайн-помощи и консультации, вы отличный специалист

Только вот, вопрос небольшой: когда я удаляю папку "RealtekHD" и "WindowsTask", спустя время, они возвращаются на место - это нормальное явление?

Надеюсь, что сервис будет работать еще очень долго!

Прикрепляю победные логи ( на всякий случай ) :

- - - - -Добавлено - - - - -

- - - - -Добавлено - - - - -

Aleksandra, хотя, я после проделанных действий описанных выше, перезагрузил компьютер, открыл приложение "EpicGames" и они снова появились ( но, даже если бы не перезагружал, они все равно, спустя время, появились бы ).
В папке "WindowsTask" ( programmdata/windowstask ) добавился еще один файл "AMD.exe"
Касательно появления: появляется, вроде тогда, когда запускаю эту программу. ( два раза запускал, и он мгновенно, практически, запускался и файлы восстанавливались )
Проделал все в безопасном режиме, но и там ситуация такая же.
Добавление 15:35 - проверил точно, приложение "EpicGames" никак не причастно к появлению процесса.
Как я понял, вирус появляется спустя время после перезагрузки компьютера. Возможно, есть файлы, которые провоцируют его появление, но я не уверен и не проверял.
Вот, что интересного смог достать ( один скриншот ) :

[Aleksandra]

Сделайте лог с помощью этой утилиты https://people.drweb.com/people/yudi.../dwsysinfo.exe

[sapperti]

Aleksandra, сделал два лога: один, сразу после работы утилиты "Dr. Web Cure It", а другой с нарочно спровоцированным троянским ПО.
Также, заметил странный процесс "dllhost.exe", после его появления ( а он появляется несколько раз на определенное время, как я успел просмотреть, где-то на секунд 5-15 ) появляются и сами файлы и что, для меня, кажется наиболее неестественным так это то, что после того, как хочешь узнать его месторасположение он сразу пропадает, так и не открыв папку или директорию.
Загружал на "Яндекс.Диск", мало места.
1-ый лог ( без троянского ПО ): https://yadi.sk/d/s1a3AIqj3ZmUFE
2-ой лог ( сделанный с нарочно спровоцированным троянским ПО ): https://yadi.sk/d/CFFYClQP3ZmUGu

[Aleksandra]

Прямая ссылка на обновления безопасности MS17-010 http://download.windowsupdate.com/d/...2d8c4e92b3.msu

Установите...

Скачайте https://docs.microsoft.com/en-us/sys...loads/autoruns

Распакуйте на рабочий стол, запустите Autoruns64.exe и в секции wmi удалите KernCap.vbs:

Код:

<wmi>
    <item namespace="root\subscription" instance="\\ДАНИЛА-ПК\ROOT\subscription:CommandLineEventConsumer.Name=&quot;BVTConsumer&quot;" workdir="C:\\tools\\kernrate" class="CommandLineEventConsumer" clsid="{266c72e5-62e8-11d1-ad89-00c04fd8fdff}" value="CommandLineTemplate" data="cscript KernCap.vbs" arkstatus="suspicious" />
</wmi>

[sapperti]

Aleksandra, в секции "WMI" файл "KernCap.vbs" отсутствует. Только "BVTConsumer Microsoft ® Console Based Script Host Microsoft Corporation c:\windows\system32\cscript.exe" есть. Поиск ( Ctrl + F ) тоже ничего не находит по этому запросу. И, еще я не нашёл, где этот скрипт можно запустить.

[Aleksandra]

Вы обновление поставили?

[sapperti]

Aleksandra, да, изначально установил и перезагрузил компьютер. Могу попробовать еще раз его установить.

[Aleksandra]

Могу попробовать еще раз его установить.

Нет, не надо. Теперь удалите все папки куда закачивались вирусы.

[sapperti]

Aleksandra, удалил, но они, все равно, продолжают закачиваться. 11:45 - Хотя, странно... они закачались сразу после удаления ( минуты 2 ), а теперь приостановили свою закачку. 15:37 - Нет, все же, они появляются, но нужно спровоцировать появление, допустим, открыть страницу в браузере с антивирусным ПО или запустить антивирусную утилиту. Они полностью исчезают тогда, когда очистка производится с помощью утилиты "Dr. Web Cureit", но, только до перезагрузки, после нее, спустя время, даже без активных действий, сами появляются.

[thyrex]

sapperti, выполните, пожалуйста, для меня (в дальнейшем с Вами продолжит работу только Aleksandra) написанное ниже.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[sapperti]

thyrex, извините за навязчивость, а как образом можно очистить файлы в менеджере вложений, не подскажете пожалуйста? ( просто, доступных кнопок или иконок, связанных с очищением/удалением не нашел, а очистка не производится ( если файл не используется час ). Места уже мало и не хватит для дальнейших отчетов. )
Действия выполнил, вот архив:

[thyrex]

извините за навязчивость, а как образом можно очистить файлы в менеджеры вложений

Мой кабинет - Вложения.

Спасибо за архив.

[thyrex]

GridinSoft Anti-Malware
Trojan Killer

удалите через Установку программ.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
Folder: C:\Program Files\RDP Wrapper
Folder: C:\disk
Folder: C:\rdp
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [1705984 2016-08-29] (Realtek Semiconductor)
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [AVG Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} =>  -> No File
ContextMenuHandlers1: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\Program Files\GridinSoft Anti-Malware\shellext.dll [2018-07-20] ()
ContextMenuHandlers2: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\Program Files\GridinSoft Anti-Malware\shellext.dll [2018-07-20] ()
ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers4: [AVG Disk Space Explorer Shell Extension] -> {4838CD50-7E5D-4811-9B17-C47A85539F28} =>  -> No File
ContextMenuHandlers4: [AVG Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} =>  -> No File
ContextMenuHandlers4: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\Program Files\GridinSoft Anti-Malware\shellext.dll [2018-07-20] ()
ContextMenuHandlers6: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\Program Files\GridinSoft Anti-Malware\shellext.dll [2018-07-20] ()
Task: C:\Windows\Tasks\GridinSoft Anti-Malware.job => C:\Program Files\GridinSoft Anti-Malware\gsam.exe
S3 TermService; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S3 TermService; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S3 GridinSoftInetSecurityDriver; C:\Windows\System32\DRIVERS\gsInetSecurity.sys [102736 2018-07-20] (GridinSoft LLC)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\07352226.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\08369112.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\39622616.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\51657089.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\79889829.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\84848429.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\C9636BEC6.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\07352226.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\08369112.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\39622616.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\51657089.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\79889829.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\84848429.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\C9636BEC6.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
AlternateDataStreams: C:\Users\Public\AppData:CSM [464]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [482]
FirewallRules: [{90DD39A2-126A-41E7-AB67-A469A043634F}] => (Allow) C:\Windows\SysWOW64\gUaIimoUOUUu.exe
C:\Windows\SysWOW64\gUaIimoUOUUu.exe
S3 TrojanKillerDriver; C:\Windows\System32\DRIVERS\gtkdrv.sys [38216 2018-07-20] (GridinSoft LLC)
S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
2018-08-01 15:49 - 2018-08-01 15:55 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
2018-08-01 15:49 - 2018-08-01 15:55 - 000000000 __SHD C:\ProgramData\WindowsTask
2018-08-01 15:49 - 2018-08-01 15:50 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
2018-08-01 15:49 - 2018-08-01 15:50 - 000000000 __SHD C:\ProgramData\RealtekHD
2018-07-31 18:20 - 2018-07-31 19:02 - 000000000 ___HD C:\Program Files (x86)\Temp
2018-07-29 17:28 - 2018-07-29 17:28 - 000000000 ____D C:\Program Files\Trojan Killer
2018-07-29 03:03 - 2018-07-29 03:03 - 000000294 _____ C:\Windows\Tasks\GridinSoft Anti-Malware.job
2018-07-28 23:33 - 2018-07-28 23:33 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware
2018-07-28 23:30 - 2018-07-28 23:33 - 000000000 ____D C:\Program Files\GridinSoft Anti-Malware
2018-07-28 22:52 - 2018-07-28 22:52 - 000000000 ____D C:\Users\Все пользователи\GridinSoft
2018-07-28 22:52 - 2018-07-28 22:52 - 000000000 ____D C:\ProgramData\GridinSoft
2018-07-28 22:11 - 2018-07-28 22:11 - 000478392 _____ (Kaspersky Lab ZAO) C:\Windows\system32\Drivers\C9636BEC6.sys
2018-07-20 17:51 - 2018-07-20 17:51 - 000102736 _____ (GridinSoft LLC) C:\Windows\system32\Drivers\gsInetSecurity.sys
2018-07-20 17:51 - 2018-07-20 17:51 - 000038216 _____ (GridinSoft LLC) C:\Windows\system32\Drivers\gtkdrv.sys
2018-06-23 23:02 - 2018-07-27 13:37 - 000000008 __RSH C:\Users\Все пользователи\ntuser.pol
2018-06-23 23:02 - 2018-07-27 13:37 - 000000008 __RSH C:\ProgramData\ntuser.pol
2018-06-23 23:02 - 2018-07-27 08:28 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
2018-06-23 23:02 - 2018-07-27 08:28 - 000000000 __SHD C:\ProgramData\Doctor Web
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Users\Все пользователи\Norton
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Users\Все пользователи\grizzly
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\ProgramData\Norton
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\ProgramData\grizzly
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Program Files\AVG
2018-06-23 23:02 - 2018-06-23 23:02 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Windows\WindowsDefender
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Windows\SysWOW64\xmr64
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Windows\SysWOW64\hhsm
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Windows\min
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Windows\hs_module
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Данила\AppData\Local\kara
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\windowsdriver
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\Windowsdata
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\McAfee
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\GOOGLE
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\ESET
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\Cezurity
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\Cefunpacked
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\Avira
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\AudioHDriver
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\360TotalSecurity
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Все пользователи\360safe
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\windowsdriver
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\Windowsdata
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\McAfee
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\GOOGLE
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\ESET
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\Cezurity
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\Cefunpacked
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\Avira
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\AudioHDriver
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\360TotalSecurity
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\ProgramData\360safe
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Program Files\McAfee.com
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Program Files\McAfee
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Program Files\ESET
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Program Files\Cezurity
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\disk
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 ____D C:\Program Files\COMODO
2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 ____D C:\Program Files (x86)\360
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\windowshelper
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\WindowsApps
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\syscore
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\Svcms
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\subdir
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\intel
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Local\TeamViewer
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Данила\AppData\Roaming\Nvidiadriver.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Данила\AppData\Roaming\Bot.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Все пользователи\SystemIdle.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Все пользователи\olly.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Все пользователи\Iostream.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\ProgramData\SystemIdle.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\ProgramData\olly.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\ProgramData\Iostream.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH (Twain Working Group) C:\Users\Все пользователи\System Idle.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH (Twain Working Group) C:\ProgramData\System Idle.exe
2018-05-01 14:59 - 2018-05-01 14:59 - 000000002 _____ () C:\Users\Данила\AppData\Local\WMI.ini
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[sapperti]

thyrex, программы удалил через "Установщик программ". Текстовый документ "fixlist.txt" пропал после сканирования и вместо него появился "fixlog.txt" ( надеюсь, это значит, что я сделал все правильно ). Процесс появился сразу после перезагрузки компьютера "taskhostw.exe". Файлы ( в папках и реестре ) так и остались на месте. Логи прикрепил:

[thyrex]

Содержимое файла C:\rdp\bat.bat процитируйте в следующем сообщении

Отключите через msconfig автозапуск всех приложений, включая антивирус, удалите папку с вирусом, перезагрузите компьютер, сделайте новый лог FRST.txt

[sapperti]

thyrex, извините, очень сильно сглупил: закрыл в диспетчере задач процесс "taskhostw.exe", после, открыл bat.bat: открылась командная строка и первые три строчки гласили "Отказано: доступ запрещен ( или что-то вроде этого )" после этого в командной строке появилось множество каких-то процессов. Также, скорее всего, этот "bat.bat" имеет отношение к "taskhostw.exe", так как после запуска "bat.bat" процесс "taskhostw.exe" появляется сразу в диспетчере задач. Но, основная ошибка состоит в том, что после того, как я закрыл процесс ( при повторной проверке ), командная строка закрылась автоматически, папка ушла в режим "скрытности", а файл "самодеактивировался" и папка стала пустовать. Единственное, что могу сказать: "bat.bat - пакетный файл". И, даже отключение процессов в разделе "Автозагрузка" не помогло: процесс, все равно появляется.
И, еще одна маленькая просьба: не могли бы вы пожалуйста поподробнее расписывать действия? Углубляться сильно не стоит. Просто, чувствую, что что-то упускаю в логистике действий.
Вот, логи:

[thyrex]

1. Скачайте файл из вложения и сохраните в папку C:\Users\Данила\Downloads
2. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[sapperti]

thyrex, выполнил, вот логи:
P.S. процесс "RealtekHD" из раздела "Автозагрузка" после отключения, моментально включает себя.

[thyrex]

Все написанное ниже выполняете в указанном порядке в безопасном режиме
1) Отключаете через msconfig запуск в автозагрузке всего, что не имеет отношения к системе, в т.ч. и антивирус, который продолжает бесполезно работать.

2) Удаляете вручную папки с вирусом + это скрытое добро, которое из-за кодировки не можем удалить скриптом

2018-06-23 23:01 - 2018-06-23 23:01 - 000000000 __SHD C:\Users\Данила\AppData\Local\kara
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\windowshelper
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\WindowsApps
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\syscore
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\Svcms
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\subdir
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Roaming\intel
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Local\TeamViewer
2018-06-23 23:00 - 2018-06-23 23:00 - 000000000 __SHD C:\Users\Данила\AppData\Local\Canon
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Данила\AppData\Roaming\Nvidiadriver.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Данила\AppData\Roaming\Bot.exe
2018-05-01 14:59 - 2018-05-01 14:59 - 000000002 _____ () C:\Users\Данила\AppData\Local\WMI.ini

3) Запрещаем RDP-порт

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
FirewallRules: [{6D5B1818-26A7-418A-BCC1-578629DC068B}] => (Allow) LPort=3389
FirewallRules: [{84D549C2-A3E7-4931-9D00-FC4517E56170}] => (Allow) LPort=3389
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.