Привет всем, собственно проблема, на днях Avast блокировал множество атак в т.ч. и WanaCry, и в систему проник каким-то образом Conhost.exe. Поселился в папке Windows/Temp. Прогнал Dr.Web Cureit, изловил заразу, не помню какую в WMI, затем прогнал Malwarebytes, все что она обнаружила прибил, в т.ч. в реестре, и сам этот Conhost удалил, посторонние записи в автозапуске тоже прибил. После удаления этот Conhost.exe вновь появляется после перезагрузки и подключения к Интернету. Прибиваю ему выход в свет чудом оставшимся работоспособным фаерволом аваста и выдает такой лог попыток входа:
https://yadi.sk/i/fK86WafF3ZW5EJ
Предположительно он, или что-то еще не дает полностью включить полную защиту в авасте и восстановление системы тоже не работает.
Сам Conhost.exe в Mailwarebytes распознается как Trojan.Agent.BTMGen и он же висит в процессах.
Есть ли варианты выхода из положения? Ну кроме переустановки системы.

Здравствуйте!

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)

Здравствуйте!
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. »

Здравствуйте. Прикрепляю логи:
153454

Пока плохого не видно.
У Вас установлен Malwarebytes, версия 3.5.1.2522

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве. (https://safezone.cc/threads/28958/)

У Вас установлен Malwarebytes, версия 3.5.1.2522
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!! »
Прилагаю лог MalwareBytes:
153455
И еще раз autologger:
153456

Auslogics DiskDefrag рекомендую деинсталлировать. Если хотите оставить, удалите в MBAM (поместите в карантин) все, кроме записей, касающихся его.

Затем:
Скачайте AutorunsVTchecker (https://safezone.cc:443/resources/autorunsvtchecker.211/). Распакуйте и запустите. Не дожидаясь окончания сканирования,
Скачайте Universal Virus Sniffer (https://safezone.cc/resources/7/) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS. (https://safezone.cc/threads/14508/#post-79351)

Затем:
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
Скачайте Universal Virus Sniffer (uVS) »
Прилагаю лог созданный программой Universal Virus Sniffer:
153459

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (https://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref WMI_.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
apply

restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве (https://safezone.cc/threads/14509/#post-79352).

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. »
Результаты выполнения скрипта:
153473

Повторите еще раз этот скрипт, загрузив систему в безопасном режиме.

Повторите еще раз этот скрипт, загрузив систему в безопасном режиме. »
Выполнил в безопасном режиме - получил следующее:
153475

И при следующей загрузке вновь запустился этот Conhost.exe и пытался вылезти на 6 серверов, но я запретил с помощью фаервола.
153476

Соберите свежий лог uVS.
AutorunsVTChecker уже запускать перед этим не нужно.

+
Дополнительно, пожалуйста, выполните в AVZ скрипт:

begin
ExpRegKey('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers','S hellIconOverlayIdentifiers.txt');
ExpRegKey('HKEY_CLASSES_ROOT','CLSID\{472083B0-C522-11CF-8763-00608CC02F24}','CLSID.txt');
end.


Файлы: ShellIconOverlayIdentifiers.txt и CLSID.txt из папки с AVZ упакуйте в архив и прикрепите к своему следующему сообщению.

+
Дополнительно, пожалуйста, выполните в AVZ скрипт: »
Образ автозапуска:
153489
Логи скрипта AVZ:
153490