ZaYAC-UA, Защитное ПО отключали на время выполнения скрипта (антивирус, Windows Defender и пр.)?
рекомендации по защите от автозапуска - выполняли?
C:\Windows\system32\cftm.exe по логу больше не наблюдается, если есть удалите вручную, KAV с новыми базами знает зловредов, обновите базы.
Удалите Bonjour Service см.
здесь или
здесь
c:\program files\ups\ippon_ups.exe - проверьте на virustotal.com
Запустите AVZ через правую кн. мыши от имени администратора, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\csrcs.exe');
SetServiceStart('mpr_freader', 4);
QuarantineFile('c:\windows\system32\ice_time.dll','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\Program Files\Multi Password Recovery\mpr_freader.sys');
DeleteFile('K:\autorun.inf');
DeleteFile('K:\wakfqg.exe');
DeleteService('mpr_freader');
DeleteFile('c:\windows\system32\ice_time.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('K:\wakfqg.exe');
BC_DeleteFile('c:\windows\system32\csrcs.exe');
BC_DeleteFile('K:\autorun.inf');
BC_DeleteSvc('mpr_freader');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Скачайте и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители)
Flash Drive Disinfector - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Скачайте
Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Повторите лог virusinfo_syscheck.zip
Скачайте
RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.
