[Petya V4sechkin]

maxkrav, похоже на следы жизнедеятельности вируса:

Цитата:

C:\Windows\tasks\Startup.job - wscript C:\Windows\SoftwareDistribution\DataStore.edb:Zone.Identifier.vbs C:\Windows\system32\tasks\Maintenance - shutdown.exe /s /f /t 0 O23 - Service: FSPro Filter Service (fsproflt) - FSPro Labs - C:\Windows\SysWOW64\fsproflt.exe [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "MinerGateGui"=C:\Program Files\MinerGate\minergate.exe --auto []

• Команда shutdown.exe /s /f /t 0 в Планировщике заданий - выключение.
• Zone.Identifier.vbs - прицепленный к файлу DataStore.edb альтернативный поток NTFS.
• FSPro Filter Service (fsproflt) - служба для скрытия папок (антивирус её не ловит, потому что она взята из Hide Folders или My Lockbox, но эти программы у вас не установлены).
• MinerGate - майнинг криптовалют.

[maxkrav]

Почистил реестр по ключевым словам ("fspro", "hide folders", "minergate", "maintenance").

Удалил файлы C:\Windows\system32\tasks\Maintenance http://rgho.st/8VsGFz5Kj

Удаленные файлы здесь http://rgho.st/6zCXPrYyx

Также удалил файлы C:\Windows\tasks\Startup.job и C:\Windows\SoftwareDistribution\DataStore.edb

Удалил файлы в папке C:\Windows\SysWOW64\ , которые созданы (изменены после 18.01.2018)

Удаленные файлы здесь http://rgho.st/7pkcSLbcJ

Правда, не все удалились. Файл fsproflt.exe удалился, а файл TsWpfWrp.exe не удаляется.

После перезагрузил систему в обычном режиме, также сразу выключается.

Загрузился в безопасном режиме и попробовал открыть планировщик заданий, но не смог http://rgho.st/872m4X8wV и http://rgho.st/8rbslNmx7

Выдает ошибку, что планировщик заданий невозможно запустить в безопасном режиме - ошибка 1084.

Новые логи RSIT http://rgho.st/7YlSV9dFW

[Petya V4sechkin]

Цитата maxkrav:

Удалил файлы C:\Windows\system32\tasks\Maintenance

Но запись о нём осталась в кэше заданий в реестре. Сначала выясните идентификатор Id этого задания в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree

Важно! Не перепутайте задание Maintenance (созданное вирусом) с категорией Maintenance, в которой множество системных записей (их не трогайте).

Затем этот Id поищите и удалите во всех подразделах
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache
(в частности, в соответствующем подразделе \Tasks в параметре Actions в бинарном виде можете заметить команду shutdown).

Другой вариант: отключить службу "Планировщик заданий", загрузиться в обычном режиме, включить службу, запустить оснастку Планировщика (taskschd.msc) и удалить проблемное задание там. Хотя есть вероятность, что из-за несогласованности кэша заданий с файлами оснастка не запустится, в этом случае надо будет выковыривать из реестра вручную (по первому варианту).

Цитата maxkrav:

Удалил файлы в папке C:\Windows\SysWOW64\ , которые созданы (изменены после 18.01.2018) Правда, не все удалились. Файл fsproflt.exe удалился, а файл TsWpfWrp.exe не удаляется.

Тут вы переусердствовали, кроме fsproflt.exe я ничего не советовал удалять из этой папки, там же системные файлы.

[maxkrav]

Удалил папки "Maintenance" в пользователях, папку "Tasks" из C:\Windows и папку "TaskScheduler" из C:\Windows\System32\Tasks\Microsoft\Windows http://rgho.st/8zLxbslSq

Восстановил файлы в папке C:\Windows\SysWOW64\ , которые созданы (изменены после 18.01.2018) за исключением fsproflt.exe.

Раздел Schedule из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion удалил. Сделал это до вашего сообщения. Восстановить уже не получиться.

Насчет не перепутать задание Maintenance (созданное вирусом) с категорией Maintenance. Возможно, где-то также перестарался при чистке в реестре.

Но после проделанных действий система стала нормально загружаться без выключения при вводе логина и пароля.

В настоящий момент в службе "Планировщик заданий" как в безопасном режиме, так и в обычной загрузке неактивны какие-либо кнопки. Фото при обычной загрузке http://rgho.st/7sK89CZ5X

Вызывает подозрение, что в службе "Просмотр событий" в событии, связанном с перезагрузкой в качестве "Источника" указывается параметр "User32", а не "Администратор" http://rgho.st/6S7hRZlpk и http://rgho.st/6phkLZfhN. Ведь User32 один из немногих локальных пользователей, а захожу на сервер под пользователем Администратор.

И вообще это уже третья проблема с FSPro Filter Service (fsproflt) и Hide Folders. Первый раз была в сентября 2017 года. Тогда вы мне помогли http://forum.oszone.net/thread-330042-3.html. После где-то в ноябре, тогда справился сам. Теперь в январе 2018 года.

В первых двух случаях обнаруживал этот вирус программа Dr.Web LiveDisk, а программа Kaspersky Rescue Disk не обнаруживала.

В третий раз и Dr.Web LiveDisk не обнаружил этот вирус, поэтому и думал, что проблема в самой системе.

На сервере стоит лицензионный антивирус Kaspersky Small Office Security 5.

Каждый раз попутно страдает ОС (какие-то файлы повреждаются, какие-то удаляю сам в виду переусердствования). Боюсь, что этот вирус опять как-то себя проявит.

Можете дать какие-то советы? Может сменить антивирус? Или где-то в ОС остаются следы этого вируса?

[Petya V4sechkin]

Цитата maxkrav:

Удалил папки "Maintenance" в пользователях, папку "Tasks" из C:\Windows и папку "TaskScheduler" из C:\Windows\System32\Tasks\Microsoft\Windows

Зачем?
В папке TaskScheduler легитимные системные задачи - верните обратно.

Цитата maxkrav:

Раздел Schedule из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion удалил. Сделал это до вашего сообщения. Восстановить уже не получиться.

OMG, зачем? Там же более сотни системных задач!
Восстановите содержимое по умолчанию с помощью импорта REG-файла из прикреплённого архива.

Цитата maxkrav:

В настоящий момент в службе "Планировщик заданий" как в безопасном режиме, так и в обычной загрузке неактивны какие-либо кнопки.

Так и должно быть (отключить можно через реестр, но теперь в этом нет необходимости).
Сама оснастка taskschd.msc запускается?

Цитата maxkrav:

Вызывает подозрение, что в службе "Просмотр событий" в событии, связанном с перезагрузкой в качестве "Источника" указывается параметр "User32", а не "Администратор"

User32 - это не учётная запись, а источник события.

Цитата maxkrav:

Боюсь, что этот вирус опять как-то себя проявит.

Вероятно, это другой вирус, не связанный с первой проблемой, а служба fsproflt.exe осталась с прошлого раза (тогда был удалён драйвер FSPFltd.sys, но не служба).

Цитата maxkrav:

Можете дать какие-то советы?

Посмотрите, установлен ли патч MS17-010 (закрывающий уязвимости EternalBlue/EternalRomance).
И вообще убедитесь, что установлены последние обновления безопасности.