Помогите удалить вирус(ы)

Здравствуйте.

Обнаружил у себя на ПК с помощью программы Spyware Process Detector в скрытых процессах процесс с именем item.dat. Находиться по адресу c:\windows\debug\item.dat, при этом в самой папке такого файла нет. В интернете пишут,что это вирус. Но антивирус его не видит (на ПК установлен NOD32 версии 9.0.386.1). Также скачал последнюю версию ESETOnlineScanner. Но он тоже ничего не нашел.

Кроме того, на ПК появилась новая "фишка" - при закрытии какого-либо окна обновляються (доли секунды) все объекты на экране (открытые папки, ярлыки рабочего стола, панель задач). Как при нажатии кнопи F5. Возможно это какой-то другой вирус, а может - результат выполнения процесса item.dat. Заметил, что если не запускаеться этот процесс - таких "обновлений" экрана нет.

Во вложенном архиве - лог с программы UVS.

Помогите удалить эту гадость.

Заранее благодарен.
1.JPG (239.21 КБ)
2.JPG (176.25 КБ)
Изменено: Константин Ким - 25.01.2018 23:07:35
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код

;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
delref HTTP://NIGHTWAREZ.RU/INDEX.PHP?STORY={SEARCHTERMS}&DO=SEARCH&SUBACTION=SEARCH
delref HTTP://PRICE.RU/ENTER?FROM=OSS&PNAM={SEARCHTERMS}
delref HTTP://XTREME.WS/
delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC
delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC={REFERRER:SOURCE?}
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\A\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER
bl EBDC2BE63B2FCB8FE22845C75850C9E6 236904
delall %SystemRoot%\HELP\LSMOSEE.EXE
deldir E:\INTERNET-BROWSERS\K-MELEON76 PRO RC\TOOLS\UNBLOCKSURF
uidel C:\Documents and Settings\A\Local Settings\Application Data\Unity\WebPlayer\Uninstall.exe /CurrentUser
deltmp
restart
;---------command-block---------
delref {FB983260-EF64-11D3-8527-00A0CC56BB53}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref %Sys32%\DRIVERS\CHANGER.SYS
delref E:\INTERNET-DOWNLOAD\DU METER\DU METER\DUM_XP32.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %Sys32%\CPLDAPU\WEBBROWSERPASSVIEW.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref F:\CHROME\CHROME\CHROME.EXE
delref E:\OFFICE\MS OFFICE\MS OFFICE\MICROSOFT OFFICE 2007\SETUP.EXE
delref %Sys32%\CPLDAPU\PRODUKEY.EXE
apply




+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
Цитата
Константин Ким написал:
Находиться по адресу c:\windows\debug\item.dat
+
скорее всего вас атакует червь, который использует уязвимость системы и пытается установить в систему майнер.
для защиты от сетевой атаки необходимо установить патч MS-2017-010 для вашей системы.

Цитата
Microsoft Security Bulletin MS17-010 - Critical
Security Update for Microsoft Windows SMB Server (4013389)

Published: March 14, 2017

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
1) В этом коде встречаются названия программ, которыми я пользуюсь: Unity, DU METER, браузеры Chrome и K-Meleon, а также MS Office. После выполнения скрипта они будут запускаться?

2) В ссылке на патч MS-2017-010 с сайта Microsoft нет ссылки на Windows XP, которая у меня стоит.
Изменено: Константин Ким - 26.01.2018 10:59:17
отсюда скачайте
WindowsXP-KB4012598-x86-Custom-RUS.exe
https://www.microsoft.com/ru-ru/download/details.aspx?id=55245
Цитата
Константин Ким написал:
В этом коде
Можно скрипт и не выполнять- это всё на ваше усмотрение.
Удалите файл: %SystemRoot%\HELP\LSMOSEE.EXE
Просьба, посмотрите, пожалуйста, новый архив UVS. Вчера при загрузке системы вышеизложенного процесса не было, а сегодня он опять запустился и я сразу сохранил его.

Если не найдете причину запуска этого процеса в новом архиве, ответьте мне, пожалуйста. Тогда я запущу тот код, который вы написали. И последующие ркомендации.

Спасибо.
rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa

У вас устаревшая версия uVS - 4.0.
Создайте образ автозапуска актуальной 4.0.10
http://forum.esetnod32.ru/forum9/topic2687/
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

--------

Установите заплатку безопасности:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Цитата
отсюда скачайте
WindowsXP-KB4012598-x86-Custom-RUS.exe
https://www.microsoft.com/ru-ru/download/details.aspx?id=55245
Константин Ким,
в вашем случае - сетевой червь использует уязвимости системы для распространения майнеров.
https://chklst.ru/discussion/1596/maynery-kriptovalyut-ispolzuyut-eternalblue-doublepulsar#latest

для обнаружения в системе объектов этого червя необходимо использовать актуальную версию uVS
функции обнаружения закладок в WMI были добавлены разработчиков в последнии версии uVS уже после выхода 4.0.0
Выполнил скрипт в UVS (в последней версии), установил и запустил Malwarebytes. Лог с полной версией сканирования отпраляю.

Просьба ответить по поводу обнаруженных угроз.



P.S. Патч MS-2017-010 еще не устанавливал.
Изменено: Константин Ким - 28.01.2018 16:44:11
Читают тему (гостей: 2)