[ Закрыто ] Объект: Startup Угроза: MSIL/Web Companion.A

1
RSS
Здравствуйте.
Прошу помочь в удалении вируса.
ОС Windows 7 х64
У меня установлен ESS версия 4.2.71.3
Проблемы с компьютером следующие:
- иногда мышка самопроизвольно скроллит страницу браузера или текстового документа вниз (особенно после длительного ее неиспользования, но иногда и без этого);
- периодически (но не всегда) зависает воспроизведение видео с внешнего USB-диска;
- периодически (но не всегда) зависает копирование файлов с одного внешнего USB-диска на другой (штатные средства Windows ошибок на дисках не находят), выдается сообщение "ошибка чтения файла", приходится файл перекачивать, переподключать внешний USB-диск и только после этого проблемный файл обычно удается скопировать на другой диск;
- самопроизвольно переключаются вкладки в WebMoney Keeper Classic (сразу после его запуска) со звуком, как будто я щелкал по вкладкам мышкой (но я этого не делал - только запустил программу);
- периодически (обычно однократно в начале запуска Windows) бывает черный экран на 2-4 секунды с последующим сообщением о восстановлении видеодрайвера после ошибки.

Сегодня ESS выдал окно:
Объект: Startup
Угроза: MSIL/Web Companion.A
но без возможности каких-либо действий с данной угрозой и без указания на ее конкретную локализацию  (скриншот прилагаю).


Создал образ автозапуска в uVS (прилагаю)
Есть подозрение, что вышеописанные проблемы могут быть связаны с каким-то иным (пока недетектируемым ESS) вирусом.
Надеюсь на помощь.
Изменено: Роман Кузнецов - 10.10.2017 16:55:50
+
добавьте записи с этой угрозой из журнала угроз
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://OVGORSKIY.RU
delref HTTP://OVGORSKIY.RU/
apply

deltmp
delref %SystemDrive%\USERS\D899~1\APPDATA\LOCAL\TEMP\CHROME_BITS_4348_21937\1.4.8.1000_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\ASHAMPOO\ASHAMPOO BURNING STUDIO 6 FREE\BURNINGSTUDIO.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\DRIVERS\TPM.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref I:\TOSHIBA PLACES.HTML
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_131\BIN\WSDETECT.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Скрипт выполнил.
Предложений по деинсталляции программ в ходе выполнения скрипта - не поступало.
Комп перезагрузился.
Windows стартовала вроде нормально, но надо наблюдать, так как проблема черного экрана с ошибкой видеодрайвера - непостоянная.
Тоже касается и самопроизвольного скроллинга мышки.
Вы просили добавить записи с угрозой из журнала угроз.
Я не совсем понял, где этот журнал найти.
Он у меня почему-то совсем пустой (если я смотрю там, где нужно) - скриншоты прилагаю.
Скрытый текст
Если нужно посмотреть где-то еще, то подскажите, пожалуйста.

И еще - при подключении к интернету - постоянно выдается такое окно:

Я жму - "временно запомнить" и "запретить" - на работу в интернете этот запрет не влияет.
Только неясно, что это за процесс (локализация не определяется) и почему ему надо в интернет.

После выполнения скрипта и перезагрузки просканировал комп свежескачанной Malwarebytes Free.
Malwarebytes Free нашла только 1 потенциально нежелательную программу в отдельной папке (я ее даже не запускал ни разу и не устанавливал). Поместил ее в карантин.
Прошу Вас тему пока не закрывать (хотя бы пару дней), так как не исключен редицив симптомов (чтобы не создавать новую тему и не описывать ситуацию по-новой).
Благодарю за помощь.
Изменено: Роман Кузнецов - 10.10.2017 21:10:44
вообще-то ESS у вас версия довольно таки старая.
видимо в этой версии так же сохранилась ошибка при отображении записей из журнала угроз.
имеет смысл обновить ESS до актуальной версии. 10.1
Вчерашний день прошел полностью нормально (при активной работе с текстовыми документами и в браузерах в интернете).
Сегодня с утра при запуске Windows однократно примерно через 2 минуты от момента появления рабочего стола опять был черный экран на 2-3 секунды - я быстро подвигал мышкой и он исчез.
Сообщения об ошибке видеодрайвера не заметил.
Malwarebytes Free и ESS при сканировании ничего не находят.
Самопроизвольного скроллинга в браузерах сегодня пока не было.
В тестовом документе отметил его сегодня пока однократно (возможно, просто "рука дрогнула" на колесике мышки).
В WebMoney Keeper Classic (сразу после его запуска) самопроизвольного переключения вкладок уже не происходит (как было раньше), но есть короткая однократная череда звуковых "щелчков" (как будто эти вкладки переключаются).
Создал образ автозапуска в uVS от сегодняшнего числа (прилагаю).
Изменено: Роман Кузнецов - 12.10.2017 11:16:34
повторный образ чист.
рекомендуем:
Цитата
имеет смысл обновить ESS до актуальной версии. 10.1
Благодарю за помощь и рекомендации.
Думаю, что тему можно закрыть.
1
Читают тему (гостей: 1)