Антивирус нашел вирус и не может вылечить
 

Здравствуйте! Вчера антивирус после сканирования выявил два вируса. Вылечить не смог. Помогите, пожалуйста. Скрин прилагаю. Логи присоединяю.

postoronim, https://safezone.cc/threads/kak-udal...7/#post-256138

iskander-k,
Вы рекомендуете мне избавиться от 360 Total Security? Он зловреден? Или не справляется с задачами антивирусной защиты?

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

Удалил.
Выполнил.

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками все, кроме указанной ниже строчки - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected") - смотрите, что удаляете.

Подробнее читайте в руководстве.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Насчет этого не вполне уверен, т.к. в отчете строка местоположения файла очень длинная и вся не помещалась, и прокрутки нету, чтоб конец увидеть. А таких файлов с идентичным началом местоположения в отчете было три. Я отчет распечатал в "блокнот" и посмотрел там. Но вид текста там иной (не такой как отчет). Пришлось просто методом догадывания считать, что первый файл в "блокноте" похожий на тот, что вы написали и есть первым из трех файлов в отчете. И с него я снял галочку.
Выполнил
Выполнил

Очистка от вирусов порадовала - возобновились остро необходимые функции браузера, по которым причину подозревал в другом.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  ---

  Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Toolbar: HKLM - No Name - {A13C2648-91D4-4bf3-BC6D-0079707C4389} -  No File
CHR HomePage: Default -> mail.ru/cnt/11956636?gp=789169
S3 4F95809EACC61876; \??\C:\Windows\TEMP\589C7B2.sys [X]
S3 4F9583ED1D1EA4F6; \??\C:\Windows\TEMP\5B8BED9.sys [X]
S3 4F9584D87FCBADF6; \??\C:\Windows\TEMP\7C1AA20.sys [X]
S3 4F95898BB9CC34F6; \??\C:\Windows\TEMP\6ADB5C9.sys [X]
S3 4F958A75AF14CC76; \??\C:\Windows\TEMP\668B2DE.sys [X]
S3 4F958A762C55C876; \??\C:\Windows\TEMP\5C1201B.sys [X]
S3 4F958B373DA66A76; \??\C:\Windows\TEMP\5629B6C.sys [X]
S3 4F958E04ECE90176; \??\C:\Windows\TEMP\4C863E0.sys [X]
S3 4F959069F1E39C76; \??\C:\Windows\TEMP\6C4DF2B.sys [X]
S3 4F959288CD4FAED3; \??\C:\Windows\TEMP\169121AE7.sys [X]
S3 4F95988606A4EEF6; \??\C:\Windows\TEMP\46FBEB1.sys [X]
S3 4F959886F7CD8976; \??\C:\Windows\TEMP\61B6A29.sys [X]
S3 4F959BD4AC033776; \??\C:\Windows\TEMP\48A7C20.sys [X]
S3 4F959BD543801DF6; \??\C:\Windows\TEMP\57564A7.sys [X]
S3 4F959CC61D5C5BF6; \??\C:\Windows\TEMP\7CFFFE3.sys [X]
S3 4F959D37E9C4C1F6; \??\C:\Windows\TEMP\5A8CE25.sys [X]
S3 4F95B138EC034BF6; \??\C:\Windows\TEMP\59798C4.sys [X]
S3 4F95B1EA8AA87676; \??\C:\Windows\TEMP\4C72BA5.sys [X]
S3 4F95B1F35472DAC4; \??\C:\Windows\TEMP\756B2E915.sys [X]
S3 4F95B370CC6D47F6; \??\C:\Windows\TEMP\51CBE8D.sys [X]
S3 4F95FCE8F78E52F6; \??\C:\Users\Александр\AppData\Local\Temp\7C5BDB18.sys [X]
EmptyTemp:
Reboot:
End::

  ---

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor,
Сделал. Вы не сообщили куда вставить скопированный код. При запуске FRST Fix он оставался в буфере обмена. Может так и надо?

Именно так и надо :)

Что сейчас с проблемой?

По работе системы и браузеров жалоб нет. Но антивирус по-прежнему видит два вируса и не может с ними совладать. Прикрепляю скрин.

Вероятно - ложное срабатывание.

Проверьте эти файлы на virustotal - кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Не могу это сделать, т.к. в отчете антивируса путь к конечному файлу полностью не указан (стоит многоточие), а папок в этих прогах уйма. Найти эти файлы поиском через кнопку "Пуск" не удалось. Пишет что нету их.

Сделаем так:
Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

Сделал. Потом снова запустил антивирус. Тот же результат - два вируса. Но я не стал нажимать "исправить", а нажал "детали" и получил полный путь к этим файлам. И смог провести операцию с virustotal.
Вот ссылки на результат:
https://www.virustotal.com/#/file/18...9b9f/detection
https://www.virustotal.com/#/file/18...9b9f/detection

Странно: после операции с virustota все файлы в конечных папках местонахождения вирусов перестали отображаться (исчезли). И вирусы тоже. Но антивирус упорно их находит на тех же местах. А в проводнике - пусто там (ни одного файла).

Так и есть.

В настройках антивируса очистите все журналы и хранилища.

Очистил все логи какие нашел в настройках. Если при сканировании снова будет их писать, то буду ставить галочку "игнорировать-доверять". Правильно?

Именно так.

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Сделал. У меня антивирус-реклама настойчиво напоминает мне, что у меня установлена неактуальная версия Гугл-Хром и предлагает установить новую. Я полагал, что при нажатии кнопки произойдет обновление, но процедура начинается с отдельной загрузки версии на диск. И я от нее отказываюсь. Мне это как то подозрительно. Ведь Гугл-Хром должен самообновляться. Или я не прав?

--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.42606 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.61.0.3163.100 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 54.0.1 (x86 ru) v.54.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.17.7.1.804 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Менеджер браузеров v.3.0.4.826 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Как видите, это действительно так.

Рекомендации после лечения.

По ссылке "рекомендации после лечения" прочел следующее:
"2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить"

На всякий случай уточняю термины: "очистить" - это значит, что системный диск будет просто очищен от ненужных файлов? Или это означает, что он будет полностью очищен от всего на нем записанного?

Конечно, так :)

Здесь не знаю что делать.
Обновил.Я не нашел менеджер браузеров. Системный диск очистил.

Это только предупреждение, будьте внимательны и осторожны.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  ---

  Start::
CreateRestorePoint:
Менеджер браузеров (HKLM\...\{36E317A1-1384-4FC5-92CD-D4731B651859}) (Version: 3.0.4.826 - Яндекс) Hidden
Reboot:
End::

  ---

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После перезагрузки он должен появиться в перечне установленных.

Удаление менеджера браузеров привело к тому, что ярлыки браузеров на рабочем столе стали нерабочими. Попытка создать рабочий ярлык Гугл Хром через его размещение в системном диске с присвоением ярлыку имени файла chrome.exe не удалась. Ярлык все равно не работал. Запуск этого файла в Проводнике тоже не помог. Файл не работал. Пришлось через Тор-браузер заходить на свою почту, с почты на сайт этого форума, на эту тему, нажать ссылку https://www.google.ru/chrome/browser/desktop/index.html и установить Гугл Хром заново.