[ Закрыто ] ошибка удаления вируса , nod32 не может удалить майнеры/трояны

1
RSS
К сожалению eset по каким то причинам при нажатии а кнопку удалить ( майнеры нашелся в оперативной памяти)  написал что ошибка удаления  
Цитата
Андрей Калинин написал:
К сожалению eset по каким то причинам при нажатии а кнопку удалить ( майнеры нашелся в оперативной памяти)  написал что ошибка удаления  
добавьте образ автозапуска системы для проверки.
Прикрепляю образ автозапуска
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.13 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\81BAB96A-365C-4743-8348-D1FCDA09A124\B0160.EXE
zoo %SystemDrive%\PROGRAMDATA\MBVHOST.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\81BAB96A-365C-4743-8348-D1FCDA09A124\B0160.EXE
delall %SystemDrive%\PROGRAMDATA\MBVHOST.EXE
delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.23.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
apply

deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemRoot%\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\FONTCACHE\FONTS\DOWNLOAD-1.TMP
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAMDATA\IOSTREAM.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref %Sys32%\DRIVERS\USBAUDIO.SYS
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
результаты сканирования
Код
Malwarebytes
www.malwarebytes.com

-Данные журнала-
Дата проверки: 06.08.18
Время проверки: 9:47
Файл журнала: 917d7734-9944-11e8-ae25-1078d231193d.json
Администратор: Да

-Информация о ПО-
Версия: 3.5.1.2522
Версия компонентов: 1.0.391
Версия пакета обновления: 1.0.6215
Лицензия: Бесплатная версия

-Информация о системе-
ОС: Windows 10 (Build 17134.191)
Процессор: x64
Файловая система: NTFS
Пользователь: DESKTOP-3D86UK5\ANDREY

-Отчет о проверке-
Тип проверки: Полная проверка
Способ запуска проверки: Вручную
Результат: Завершено
Проверено объектов: 278134
Обнаружено угроз: 15
Помещено в карантин: 0
(Вредоносные программы не обнаружены)
Затраченное время: 2 мин, 31 с

-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Выключено
Эвристика: Включено
PUP: Обнаружение
PUM: Обнаружение

-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)

Модуль: 0
(Вредоносные программы не обнаружены)

Раздел реестра: 9
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{189238B6-A4E6-4340-87F4-9D5637BC7C61}, Проигнорировано пользователем, [394], [547002],1.0.6215
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{189238B6-A4E6-4340-87F4-9D5637BC7C61}, Проигнорировано пользователем, [394], [547002],1.0.6215
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\IOTA\MICRO\Miclip, Проигнорировано пользователем, [394], [547002],1.0.6215
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{FF63DDFB-42F2-47D8-A4CE-0DE422C07309}, Проигнорировано пользователем, [394], [527840],1.0.6215
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{FF63DDFB-42F2-47D8-A4CE-0DE422C07309}, Проигнорировано пользователем, [394], [527839],1.0.6215
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\WindowsRecoveryCleaner, Проигнорировано пользователем, [394], [527839],1.0.6215
HackTool.KMS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\KMSAutoNet, Проигнорировано пользователем, [5705], [538530],1.0.6215
HackTool.KMS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{4EA339B5-5353-40A3-B97C-F668CF694B73}, Проигнорировано пользователем, [5705], [538530],1.0.6215
HackTool.KMS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{4EA339B5-5353-40A3-B97C-F668CF694B73}, Проигнорировано пользователем, [5705], [538530],1.0.6215

Значение реестра: 2
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{189238B6-A4E6-4340-87F4-9D5637BC7C61}|PATH, Проигнорировано пользователем, [394], [547001],1.0.6215
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{FF63DDFB-42F2-47D8-A4CE-0DE422C07309}|PATH, Проигнорировано пользователем, [394], [527840],1.0.6215

Данные реестра: 0
(Вредоносные программы не обнаружены)

Поток данных: 0
(Вредоносные программы не обнаружены)

Папка: 0
(Вредоносные программы не обнаружены)

Файл: 4
RiskWare.DontStealOurSoftware, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Проигнорировано пользователем, [5327], [543391],1.0.6215
HackTool.KMS, C:\WINDOWS\SYSTEM32\TASKS\KMSAutoNet, Проигнорировано пользователем, [5705], [538530],1.0.6215
HackTool.KMS, C:\PROGRAMDATA\KMSAUTOS\KMSAUTO NET.EXE, Проигнорировано пользователем, [5705], [538530],1.0.6215
PUP.Optional.MailRu, C:\USERS\ANDREY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [234], [454830],1.0.6215

Физический сектор: 0
(Вредоносные программы не обнаружены)

Инструментарий управления Windows (WMI): 0
(Вредоносные программы не обнаружены)


(end)
Записи относящиеся к KMS можно не удалять.

1) В Malwarebytes - всё прочее найденное удалите.
( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
+ дополнительно:

что сейчас с проблемой? находится майнер в оперативной памяти?  
сделайте проверку при сканировании антивирусом ESET только оперативной памяти.

напишите результат.
угрозы отсутствуют. спасибо
если вы уже выполнили рекомендации RP55
https://forum.esetnod32.ru/messages/forum6/topic14878/message104036/#message104036

далее,
в завершение темы выполните рекомендации
https://forum.esetnod32.ru/forum9/topic13764//
1
Читают тему (гостей: 1)