[A_kitten]

Выполнила. Только 1 утилита работает до сих пор. ЕЕ закрыть? Протокол прилагаю. Файл получился большой, поэтому выкладываю ссылку. https://cloud.mail.ru/public/KNgX/BTYBoTLrr

[Sandor]

Цитата A_kitten:

ЕЕ закрыть? »

Предположу, что уже закончила. Если нет, закройте.

Далее:

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ;uVS v4.1.2 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   ;---------command-block---------
   delwmi HTTP://173.208.139.170/2.TXT
   delwmi HTTP://35.182.171.137/3.TXT
   delref HTTP://JS.1226BYE.XYZ:280/V.SCT
   delwmi HTTP://WMI.1217BYE.HOST/1.TXT
   delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7B36211421-F73F-4DB9-AC43-EAF0EE80A431%7D&GP=820851
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\7.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\5.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MFMJPFOGGIKOLKFILOFBPGCNHDCGAHIB\3.0.2_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.25_0\ПОИСК MAIL.RU
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PFJGIBHMCGNCMJHDODPAOLFBJPJJAJAL\3.0.2_0\ПОИСК MAIL.RU
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.25_0\ПОИСК MAIL.RU
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.24.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.24.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LADDJIJKCFPAKBBNNEDBHNNCIECIDNCP\8.23.0_0\ПОИСК ЯНДЕКСA
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\2.0.1.15_0\СТАРТОВАЯ — ЯНДЕКС
   delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.2.0.1_0\СТАРТОВАЯ — ЯНДЕКС
   bl BF69865A3ACD3379B0A8D870CCD43618 113
   zoo %SystemRoot%\WEB\N.VBS
   delall %SystemRoot%\WEB\N.VBS
   zoo %SystemRoot%\TEMP\78AF6A03-09CC-4A56-93D3-A2F488A462A0
   delall %SystemRoot%\TEMP\78AF6A03-09CC-4A56-93D3-A2F488A462A0
   delref A.EXE
   zoo %SystemRoot%\TEMP\BDBAE61F-CE5E-402C-B1EB-72C84A863192
   delall %SystemRoot%\TEMP\BDBAE61F-CE5E-402C-B1EB-72C84A863192
   zoo %SystemRoot%\DEBUG\ITEM.DAT
   delall %SystemRoot%\DEBUG\ITEM.DAT
   delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
   zoo %SystemRoot%\DEBUG\OK.DAT
   delall %SystemRoot%\DEBUG\OK.DAT
   delref S.DAT
   delref S.RAR
   delref S&C:\WINDOWS\UPDATE.EXE
   delwmi &POWERSHELL.EXE
   delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://173.208.139.170/S.TXT')&POWERSHELL.EXE
   delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://35.182.171.137/S.JPG')||REGSVR32
   delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://WMI.1217BYE.HOST/S.PS1')&POWERSHELL.EXE
   apply
   
   zoo %SystemRoot%\TEMP\CONHOST.EXE
   bl 147BA798E448EB3CAA7E477E7FB3A959 221184
   addsgn 925277BA106AC1CC0B24544E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.kau [Kaspersky] 7
   
   zoo %SystemRoot%\INF\MSIEF.EXE
   bl 9091762417FBD6E7DFC3E024ECE18DF4 304983
   addsgn 1A22739A5583C28CF42B95BCAC695105D7FFFE044A08F63C83C3C53F31D271C7E294A25F3E92DC4DE38FC79F81173DE33EDF2B27DE36E6D3587F2FDE2FA8178C 8 Trojan.BAT.Starter.ly [Kaspersky] 7
   
   chklst
   delvir
   
   deltmp
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   

   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.


Соберите и прикрепите еще раз контрольный лог uVS.

[A_kitten]

Скрипт выполнила. Компьютер перезагрузился. Архив с ZOO_... отправила с помощью формы. Контрольный лог от uVS утилиты прилагаю. По ссылке https://cloud.mail.ru/public/FdRq/TmSNBiNjK

[Sandor]

Обновления системы ставите? Давайте проверим:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[A_kitten]

В Настройках на обновление стоит "Никогда", вывод, что система не обновляется. Лог прилагаю.

[Sandor]

Установите эти хотфиксы, иначе лечение бесполезно:

------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4486563 Внимание! Скачать обновления

[A_kitten]

Спасибо выполняю.

[A_kitten]

Пока еще устанавливаю обновления. Это закончится часа через 2. Что делать после того, как установлю все обновления?

[A_kitten]

Установила все обновления. Запустила утилиту AutoLogger-test. Протоколы прилагаю. Какие мои дальнейшие действия?

[A_kitten]

Результат проверки DrWeb CurelT привожу