[Sandor]

Здравствуйте!

Это странно, я еще раз пересмотрел предыдущие логи, там все в порядке. Вы исключаете, что кто-то в Ваше отсутствие мог что-нибудь скачать?
Вредонос на этот раз - другой.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 TerminateProcessByName('C:\Windows\winsxslog\SystemIIS.exe');
 TerminateProcessByName('c:\progra~1\tkxsamzk\dllhost.exe');
 TerminateProcessByName('c:\windows\csrss.exe');
 StopService('TKXSAMZK');
 QuarantineFile('C:\Windows\winsxslog\SystemIIS.exe','');
 QuarantineFile('c:\progra~1\tkxsamzk\dllhost.exe','');
 QuarantineFile('c:\windows\csrss.exe', '');
 DeleteFile('c:\progra~1\tkxsamzk\dllhost.exe','32');
 DeleteFile('C:\Windows\winsxslog\SystemIIS.exe','32');
 DeleteFile('c:\windows\csrss.exe', '32');
 DeleteService('TKXSAMZK');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[MeShuRa]

Сделано.
Да, я исключаю возможность каких-либо действий в мое отсутствие, т.к. я единственный пользователь данного ПК.
Единственное чем я пользовался после предыдущего лечения - это официальные программы, для того чтобы пообщаться с друзьями. А именно: Skype, Discord, Steam и Battle.net.
Как я понял данный вредонос из той же породы биткоин майнеров, что и предыдущий? Не мог ли этот загрузчик троянов тихо прятаться где-то, пока мы не вылечили предыдущий, а потом активироваться?

[Sandor]

Цитата MeShuRa:

из той же породы биткоин майнеров, что и предыдущий? »

Да.

Цитата MeShuRa:

тихо прятаться где-то, пока мы не вылечили предыдущий, а потом активироваться? »

Мало вероятно.

Посмотрим еще логи FRST:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[MeShuRa]

Сделано.
А можно ли как-нибудь вычислить/отследить, откуда появились данные вредоносы? Чтобы понять, какие мои действия привели к их появлению, во избежания повторного заражения.

[Sandor]

Не хватает файла FRST.txt

[MeShuRa]

Хм, его размер превышает лимит данного форума. Закинул его в архив, ну или предложите свой вариант.

[Sandor]

Сделайте еще полную проверку MBAM. (Сканирует долго).

[MeShuRa]

Сделано.
25 секунд, не так уж долго.
Сижу с открытым окном этих трех угроз, стоит их поместить в карантин или нажать отмена?

[Sandor]

Удалите все найденное.

Еще раз сделайте лог SecurityCheck.

Цитата MeShuRa:

А можно ли как-нибудь вычислить/отследить, откуда появились данные вредоносы? »

Установите какой-нибудь антивирус, хоть и бесплатный.