Доброе время суток,

Kaspersky Internet Security 14 обнаружил угрозу под названием Mifreplax64.dll в System32 и предложил удалить вредоносный файл. Я подтверждаю удаление, после чего антивирус требует перезагрузку для завершения дизинфекции, чему я и следую. Однако, после перезагрузки, антивирус вновь обнаруживает тот же самый файл в том же месте и опять предлагает удалить угрозу, после чего следует ещё один запрос о перезагрузке для завершения дизинфекции. Я повторял это по кругу несколько раз безрезультатно.

Установил Kaspersky Virus Removal Tool, но утилита ничего не находит, выдавая пустые результаты.

Live CD не вариант, так как у меня нет DVD-ROM. Буду благодарен за инструкции по использованию внешнего жесткого диска в этих целях.

Заранее спасибо,
Роман

Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\PROGRA~1\SHOPPE~1\Ulyanwi.bat','');
DeleteFile('C:\PROGRA~1\SHOPPE~1\Ulyanwi.bat','32');
DeleteFile('C:\Windows\system32\Tasks\Nhfuoag','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Всё выполнил.

1) Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/threads/18577/).

Выполните скрипт в АВЗ (http://safezone.cc/threads/10/) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\PROGRA~1\SHOPPE~1\Ulyanwi.bat', '');
QuarantineFile('C:\Windows\System32\drivers\etc\hosts', '');
QuarantineFile('C:\ProgramData\{6950C305-E192-4B91-836B-2D1DA29770D8}\PowerMatte-AfterEffects-x64-v2.0.1.lnk', '');
QuarantineFile('C:\ProgramData\{7541281F-A993-4E9D-9A45-AEB57F64D333}\zMatte-AfterEffects-x64-v3.lnk', '');
QuarantineFile('C:\ProgramData\{926857A0-22B7-4033-9F19-CF68454D8D0D}\PowerStroke-AfterEffects-x64-v1.0.7.lnk', '');
QuarantineFile('C:\ProgramData\{9987279E-51AC-4B83-89D4-CDBBE5F7A826}\CompositeSuitePro-AfterEffects-x64-v1.0.0.lnk', '');
QuarantineFile('C:\ProgramData\{BEEEEDC7-B581-4812-95AC-00E579F91E20}\PowerMask-Photoshop-x64-v1.0.1.1.lnk', '');
QuarantineFile('C:\ProgramData\{C95D07E3-CE01-494F-A018-CC9DB76E04DE}\EZMask-Photoshop-x64-v2.0.0.1.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GenArts RLM Server\Get RLM HostID.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Xilisoft Video Converter Ultimate\Удаление.lnk', '');
DeleteFile('C:\PROGRA~1\SHOPPE~1\Ulyanwi.bat', '32');
ExecuteFile('schtasks.exe', '/delete /TN "{DBC80044-A445-435b-BC74-9C25C1C588A9}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Nhfuoag" /F', 0, 15000, true);
DelBHO('{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


после выполнения скрипта компьютер перезагрузится.


Файл quarantine.zip из папки AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

2) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице (http://avz.safezone.cc/).
Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost (http://rghost.ru/), Zippyshare (http://www.zippyshare.com/), My-Files.RU (http://my-files.ru/), karelia.ru (http://file.karelia.ru/), Ge.tt (http://www.ge.tt/) или WebFile (http://webfile.ru/)) и укажите ссылку на скачивание в своём следующем сообщении.


3)
Скачайте AdwCleaner (by Xplode) (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

Всё делал. quarantine.zip отправлен.

Ссылка на virusinfo_auto_YAVORSKY-PC.zip:
http://www86.zippyshare.com/v/21pgdJDP/file.html

1) Пожалуйста, папки C:\ProgramData\{6950C305-E192-4B91-836B-2D1DA29770D8}\
C:\ProgramData\{7541281F-A993-4E9D-9A45-AEB57F64D333}\


заархивируйте в zip архив с паролем virus . Полученный архив закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare (http://www.zippyshare.com/), My-Files.RU (http://my-files.ru/)) и пришлите мне в ЛС ссылку на скачивание.

2)
Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157088).

AdwCleaner ничего не обнаружил. Касперский до сих пор ругается на Mifreplax64.dll

AdwCleaner ничего не обнаружил. »
А по логу найдены и удалены адварные запис ;).
Ещё раз свежий лог прикрепите.

+ Касперский до сих пор ругается на Mifreplax64.dll »


пришлите в карантин по этой инструкции (http://safezone.cc/threads/3080/#post-11332).

пришлите в карантин по этой инструкции. »

Не выходит добавить в карантин, AVZ выдает ошибку:

http://s8.hostingkartinok.com/uploads/images/2016/03/286d83613d433762405e9a088911b0f0.jpg (http://hostingkartinok.com/show-image.php?id=286d83613d433762405e9a088911b0f0)

Не выходит добавить в карантин, AVZ выдает ошибку: »
Заархивируйте вручную в zip архив с паролем virus и загрузите на файлообменник без капчи и ссылку мне в ЛС.

+ Сделайте свежий лог AdwCleaner-а.

+ Сделайте свежий лог AdwCleaner-а. »

1) Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157905).


2) сделайте такой лог http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/

сделайте такой лог http://safezone.cc/threads/faq-po-ra...are-v-2.23670/ »

Обновление Хрома сами отключили?

Эти программы/папки вам знакомы?
C:\PROGRAM FILES (X86)\AFLICS\AFTERFLICS.EXE
C:\uninst\

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве. (http://safezone.cc/threads/16050/#post-134172)

Registry Keys: 16
Trojan.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AfterFLICS v3, , [3e3f0b7bedac37ffdc8517549c65b14f],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\TYPELIB\{E2343056-CC08-46AC-B898-BFC7ACF4E755}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\INTERFACE\{7041156A-0D2B-4DCD-A8EE-D0608BFCB2D0}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\INTERFACE\{9B41579A-1996-42F9-8F84-7B7786818CEF}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\WOW6432NODE\CLASSES\INTERFACE\{7041156A-0D2B-4DCD-A8EE-D0608BFCB2D0}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\WOW6432NODE\CLASSES\INTERFACE\{9B41579A-1996-42F9-8F84-7B7786818CEF}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{7041156A-0D2B-4DCD-A8EE-D0608BFCB2D0}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\WOW6432NODE\INTERFACE\{9B41579A-1996-42F9-8F84-7B7786818CEF}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\WOW6432NODE\CLASSES\TYPELIB\{E2343056-CC08-46AC-B898-BFC7ACF4E755}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.MultiPlug, HKLM\SOFTWARE\CLASSES\WOW6432NODE\TYPELIB\{E2343056-CC08-46AC-B898-BFC7ACF4E755}, , [d9a49ee8059414225c66853bf60ce41c],
PUP.Optional.StormAlerts, HKLM\SOFTWARE\MICROSOFT\TRACING\StormAlerts_RASAPI32, , [de9ff88ed6c3bc7a509a6b06659fb54b],
PUP.Optional.StormAlerts, HKLM\SOFTWARE\MICROSOFT\TRACING\StormAlerts_RASMANCS, , [6e0f2f57d6c3290dedfd274ab64e7888],
PUP.Optional.SearchSnacks, HKLM\SOFTWARE\WOW6432NODE\SearchSnacks, , [f08d2d595445e84e6a63e7399f65ac54],
PUP.Optional.Spigot, HKU\S-1-5-21-1357698520-2458336588-3624954833-1000\SOFTWARE\APPDATALOW\SOFTWARE\Vuze Remote, , [e29b9cea81182c0a7dd10d1874907b85],
Folders: 7
PUP.Optional.OptimizerPro, C:\Users\YAVORSKY-WORKSTATION\Documents\Optimizer Pro, , [a7d6b5d13a5fe452ef299d7bf31111ef],
PUP.Optional.VBates, C:\Users\YAVORSKY-WORKSTATION\AppData\LocalLow\Company\Product\1.0, , [106db5d19affa492c6ef3dfed430a15f],
PUP.Optional.VBates, C:\Users\YAVORSKY-WORKSTATION\AppData\LocalLow\Company\Product, , [106db5d19affa492c6ef3dfed430a15f],
PUP.Optional.PureLeads, C:\Program Files (x86)\PureLeads, , [1c61077ff1a8fe380a1e17e517eb28d8],
PUP.Optional.Yontoo, C:\Program Files (x86)\Common Files\457082ba-095e-4f86-8a98-c078f3146538, , [cfaefc8ad4c5ba7c938b2edf15ee20e0],
PUP.Optional.Yontoo, C:\Program Files (x86)\Common Files\457082ba-095e-4f86-8a98-c078f3146538\Updater, , [cfaefc8ad4c5ba7c938b2edf15ee20e0],
PUP.Optional.OptimizerPro, C:\Users\YAVORSKY-WORKSTATION\Documents\Optimizer Pro\CookiesException.txt, , [a7d6b5d13a5fe452ef299d7bf31111ef],
PUP.Optional.VBates, C:\Users\YAVORSKY-WORKSTATION\AppData\LocalLow\Company\Product\1.0\localStorageIE.txt, , [106db5d19affa492c6ef3dfed430a15f],
PUP.Optional.VBates, C:\Users\YAVORSKY-WORKSTATION\AppData\LocalLow\Company\Product\1.0\localStorageIE_backup.txt, , [106db5d19affa492c6ef3dfed430a15f],
PUP.Optional.HijackHosts.Gen, C:\Windows\System32\cukn\bhz\mayp.dat, , [1e5ff294782170c62b80d95fd035629e],

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Обновление Хрома сами отключили? »

Нет! Удаление тех записей устранит проблему или нужно что-то дополнительно сделать, чтобы пофиксить это?

Эти программы/папки вам знакомы? »

Первая - это сервер линцензии от плагина для 3ds max (я удалил его, поскольку он мне не нужен). Вторая папка мне не знакома (также удалил эти записи в MBAM).

Новый MBAM скан провел, лог прикреплён.

P.S. Странно, что MBAM не находит ничего касательно Mifreplax64.dll, KIS до сир пор ругается на него:

http://s8.hostingkartinok.com/uploads/images/2016/03/05fe07eccf4db893a73dc0c4b8749e4c.jpg (http://hostingkartinok.com/show-image.php?id=05fe07eccf4db893a73dc0c4b8749e4c)

regist, будут ли дальнейшие инструкции?

Попробуйте сами найти этот файл по указанному адресу. Файл может быть с атрибутом скрытый. Для этого снимите галочку с пункта скрывать системные и защищенные файлы(потом вернете обратно). Если этого файла нет то скорее всего касперский фолсит.