Вирус в harddisc0/dr0 [HEUR:Trojan.Win32.DiskWriter.gen]

[S-Size]

Стоит лицензия Касперского, Постоянно провожу сканирования, антивирус стараюсь не выключать. В последнее время часто появляется уведомление о вирусе в разделе harddisc0/. Каспер постоянно пытается удалить и либо удаляет и он появляется заново, либо не может удалить этот вирус. На компьютере стоит SSD-диск. На нём тоже стали появляться различные вирусы, достаточно много, все в папке windows. ССД ставил совсем недавно и только для пары игр, вирусы на него точно не мог подцепить в интернете т.к. не захожу с него в сеть.
Upd. Так же стал выключаться компьютер сам через разный промежуток времени.
Сам не особо разбираюсь в компьютере, надеюсь на вашу помощь.

[Info_bot]

Уважаемый(ая) S-Size, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[S-Size]

А образ сделать с харда или с ССД? Две винды стоит, одна на харде, вторая на ссд.

- - - - -Добавлено - - - - -

Это с харда. Скажите, если нужно ещё и с ССД.

[mike 1]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ;uVS v4.1.2 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   breg
   
   delref KERNCAP.VBS
   delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFPPJHFCGNALGFIIMDFLMIKPIFODNDLJF%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBNHEHNPNBIIOHEICPPMMMJAEKCDFIGC%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIKPCPGKLMEFNCBFGBDIFKAPHBAAPGAFH%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен..

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[S-Size]

Вроде всё правильно сделал. Всё это только с харда делать же нужно? На ссд тоже вирусы были при последней проверке...

[mike 1]

Пока не надо.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   
   Код:

   CreateRestorePoint:
   CloseProcesses:
   GroupPolicy: Restriction ? <==== ATTENTION
   GroupPolicy\User: Restriction ? <==== ATTENTION
   S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X]
   S3 gkernel; \??\C:\Users\Artem\AppData\Local\Temp\gkernel.sys [X] <==== ATTENTION
   2018-10-21 15:57 - 2018-10-21 15:57 - 001020978 _____ () C:\Users\Artem\AppData\Local\Temp\Kaspersky_Reset_Trial_CLUB_Portable_.exe
   ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
   Task: {082BBCE2-A7EA-4953-A55B-183F604C19FD} - \Pbrowserupd -> No File <==== ATTENTION
   Task: {2FEB5BA6-6591-401C-8529-0DAA6FC3F1CB} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
   Task: {4BF04864-C722-42B0-8DF9-786976755872} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
   Task: {827134D3-DDAB-4336-A7D9-77B1FA8C0BCD} - \DriverPack Notifier -> No File <==== ATTENTION
   AlternateDataStreams: C:\Users\Artem\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [362]
   AlternateDataStreams: C:\Users\Artem\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [362]
   MSCONFIG\startupreg: DriverPack Notifier => C:\Program Files (x86)\DriverPack Notifier\DriverPackNotifier.exe --run startup
   MSCONFIG\startupreg: egui => "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[S-Size]

Вот файлик.
Архива с датой и временем на рабочем столе и в папке с программой не появилось.

[mike 1]

Каспер постоянно пытается удалить и либо удаляет и он появляется заново, либо не может удалить этот вирус

Если все еще актуально, то сделайте скриншот такого окна.

[S-Size]

Это старые скриншоты того, что находило на компе (на диске F всё, что вообще нашло - сплошные вирусы, см. скролл справа).
Сейчас вроде бы ничего не появляется, но раньше оно тоже не каждый день выскакивало, надеюсь вылечили.
Комп перестал сам собой выключаться, это 100%.
Думал придётся хард сносить, а там информации ценной много, вы очень помогли. Спасибо огромное!)

[mike 1]

MBR была заражена диска F.

[S-Size]

сейчас же уже всё вылечено? Уведомления больше не всплывают пока что.

[mike 1]

Антивирус основное заражение вылечил.

[S-Size]

Вы не поверите, но этот вирус до сих пор у меня появляется. Меня за пк не было, но касперский опять обнаружил тот же самый вирус. Скриншот залить почему-то не могу :\

[mike 1]

Удалите старые вложения Мой кабинет => Вложения

[S-Size]

Надеюсь в правильном окне скриншот сделал

[mike 1]

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

[S-Size]

Готово, вроде бы ничего не нашёл, угроз нет. Но эта зараза постоянно лечится касперским, а потом снова откуда-то всплывает.

Посмотрел в "управлении дисками" - диск 0 это, вроде как, ССД накопитель. Может все проверки и прочее надо было делать с него? Я не шарю совсем, делал всё с харда.
На ССД своя операционка стоит, может из-за неё какие-то файлы не сканируются когда с харда проверки и лечение делаю.

[mike 1]

Сделайте логи Автологгера с него.

[S-Size]

Сначала забыл что за автологгер, но потом сориентировался.
Вот логи с ССД:
Плюс вышло 2 ошибки, сделал скриншот одной из них (могу скинуть при необходимости). И создались 2 текстовых документа с названиями "report1" и "report2", их тоже прилагаю.