[ Закрыто ] Помогите удалить вирус(ы)

RSS
Здравствуйте.

Обнаружил у себя на ПК с помощью программы Spyware Process Detector в скрытых процессах процесс с именем item.dat. Находиться по адресу c:\windows\debug\item.dat, при этом в самой папке такого файла нет. В интернете пишут,что это вирус. Но антивирус его не видит (на ПК установлен NOD32 версии 9.0.386.1). Также скачал последнюю версию ESETOnlineScanner. Но он тоже ничего не нашел.

Кроме того, на ПК появилась новая "фишка" - при закрытии какого-либо окна обновляються (доли секунды) все объекты на экране (открытые папки, ярлыки рабочего стола, панель задач). Как при нажатии кнопи F5. Возможно это какой-то другой вирус, а может - результат выполнения процесса item.dat. Заметил, что если не запускаеться этот процесс - таких "обновлений" экрана нет.

Во вложенном архиве - лог с программы UVS.

Помогите удалить эту гадость.

Заранее благодарен.
1.JPG (239.21 КБ)
2.JPG (176.25 КБ)
Изменено: Константин Ким - 25.01.2018 23:07:35

Ответы

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
  

AlternateDataStreams: C:\Program Files\Outlook Express:9uItbiGYxOy3B4jnKLHTT55I [2050]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\Microsoft:Gk3OwlFjfgfp6SYGHKUT [2424]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\Microsoft:osgJw8E4egs1nf6iceqhCJmLiHrJQ [2246]
GroupPolicy: Restriction ? <==== ATTENTION
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
FF Extension: (No Name) - E:\Internet-browsers\K-Meleon\browser\extensions\{899DF1F8-2F43-4394-8315-37F6744E6319}.xpi [not found]
EmptyTemp:
Reboot: 

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.
Я пока еще этот пункт не выполнил.

Но в интернете нашел тему с похожими признаками (https://otvet.mail.ru/question/45610186), только обновления не такие частые и критичные, как в этой теме. Возможно это результат выполнения такого вируса или похожего (https://www.solvusoft.com/en/malware/viruses/joke-scrnfly/).

У меня ESET словил Троян, когда я подключал флешку. Вирус был удален, но какой-то процесс видимо остался на компе. После этого появились обновления экрана. Никаких процессов (в т.ч. скрытых), которые выполняются при таком обновлении не обнаружено. Запускается процесс периодически (не всегда) при загрузке Виндовс и периодически обновляет все элементы экрана. Может исчезнуть (а может снова запуститься) при очередном запуске (перезапуске) Виндовс. Если это такой вирус (или похожий), то судя по Virus Total не все антивиры находят его (https://www.virustotal.com/en/file/32fe96645278d1c8f0d072d819a6d41f1b03cfd4fa84832b­6ec839b696d35d27/...)

Вчера еще раз отключил все ненужные процессы из автозапуска, но обновление экрана продолжается. Никаких срытых подозрительных процессов после рекомендованных вами чисток компа уже не нашел. Установление патча похоже ничего не дало.
Цитата
Константин Ким написал:
Установление патча похоже ничего не дало.
патч нужен был для защиты от сетевой атаки червя, который устанавливает майнер в систему. к проблеме рефреша рабочего стола не относится.
с рефрешем надо отдельно разбираться, поскольку цель наших скриптов была вылечить систему от майнера.
Еще один момент - таких обновлений не было, когда я запускал комп в безопасном режиме. Если я сделаю вечером еще два автозапуска в UVS в двух режимах - в нормальном режиме работы и безопасном. Может если сравнить запущенные процессы в двух этих режимах что нибудь можно выявить в отличиях?  
Если хотите проверять систему множеством движков установите дополнительно к ESET онлайн сканер
типа: Crystal Security; herdprotect.com ; threatinfo.net ; reasoncoresecurity.com

uVS - не панацея. ( у программы проблемы со зрением )

Пробовали переустановить драйвера к видеокарте ?
попробую запустить эти проги (может что найдут)

драйвер не переустанавливал. у меня стоит встроенная видео в процессоре. т.к. проц старый то я думаю уже обновлений нет (устанавливал драйвер года два назад).

а что лучше использовать для поиска подозрительных процессов в автозапуске?
Цитата
Константин Ким написал:
попробую запустить эти проги (может что найдут)

Достаточно одной из них - так, как один принцип обнаружения.

скачать Autoruns
http://download.sysinternals.com/files/Autoruns.zip
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
поскольку у вас установлен продукт ЕСЕТ, возможно по логам журнала будет понятнее, чем ранее система была атакована.
Читают тему (гостей: 2)