Ссылка на мою предыдущую тему - http://forum.oszone.net/thread-326274.html
Ссылка на соседнюю тему от человека с моей текущей проблемой - http://forum.oszone.net/thread-326215.html

Ничего не понимаю, в прошлый раз вроде бы все почистили ничего не осталось, закрыли все уязвимости и с тех пор я ничего особо на компьютере и не делал. Весь следующий день только читал ваш форум, нигде не лазал, ни во что не играл, ничего не качал, не устанавливал. А весь день после этого провел за чисткой компьютера от пыли. Откуда тогда могли взяться новые проблемы, ума не приложу. Или они были с самого начала, но в каком то спящем режиме, до решения предыдущей проблемы?
После чистки компьютера заметил, что он как то медленно работает и шумит. Заглянул диспетчер задач и увидел резкие скачки загрузки ЦП до открытия диспетчера, успел одним глазом увидеть, что это было тот же самый процесс как у человека из темы, которую я указал. Проверил CureIT и действительно он находит TrojanDownloader. Сделал очередной автолог, с закрытым диспетчером это заняло раз в 10 больше времени чем обычно, увидел что он тоже жалуется на этот csrss.exe. Создал данную тему, чтобы не захламлять старую, ведь по сути та проблема решена, а это другая.
Как всегда надеюсь на вашу скорую помощь, заранее благодарен!

Здравствуйте!

Это странно, я еще раз пересмотрел предыдущие логи, там все в порядке. Вы исключаете, что кто-то в Ваше отсутствие мог что-нибудь скачать?
Вредонос на этот раз - другой.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('C:\Windows\winsxslog\SystemIIS.exe');
TerminateProcessByName('c:\progra~1\tkxsamzk\dllhost.exe');
TerminateProcessByName('c:\windows\csrss.exe');
StopService('TKXSAMZK');
QuarantineFile('C:\Windows\winsxslog\SystemIIS.exe','');
QuarantineFile('c:\progra~1\tkxsamzk\dllhost.exe','');
QuarantineFile('c:\windows\csrss.exe', '');
DeleteFile('c:\progra~1\tkxsamzk\dllhost.exe','32');
DeleteFile('C:\Windows\winsxslog\SystemIIS.exe','32');
DeleteFile('c:\windows\csrss.exe', '32');
DeleteService('TKXSAMZK');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.

Сделано.
Да, я исключаю возможность каких-либо действий в мое отсутствие, т.к. я единственный пользователь данного ПК.
Единственное чем я пользовался после предыдущего лечения - это официальные программы, для того чтобы пообщаться с друзьями. А именно: Skype, Discord, Steam и Battle.net.
Как я понял данный вредонос из той же породы биткоин майнеров, что и предыдущий? Не мог ли этот загрузчик троянов тихо прятаться где-то, пока мы не вылечили предыдущий, а потом активироваться?

из той же породы биткоин майнеров, что и предыдущий? »
Да.
тихо прятаться где-то, пока мы не вылечили предыдущий, а потом активироваться? »
Мало вероятно.

Посмотрим еще логи FRST:
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Сделано.
А можно ли как-нибудь вычислить/отследить, откуда появились данные вредоносы? Чтобы понять, какие мои действия привели к их появлению, во избежания повторного заражения.

Не хватает файла FRST.txt

Хм, его размер превышает лимит данного форума. Закинул его в архив, ну или предложите свой вариант.

Сделайте еще полную проверку MBAM (https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/). (Сканирует долго).

Сделано.
25 секунд, не так уж долго. :)
Сижу с открытым окном этих трех угроз, стоит их поместить в карантин или нажать отмена?

Удалите все найденное.

Еще раз сделайте лог SecurityCheck.

А можно ли как-нибудь вычислить/отследить, откуда появились данные вредоносы? »
Установите какой-нибудь антивирус, хоть и бесплатный (https://www.comss.ru/list.php?c=utils).

Сделано.
Поместил файлы в карантин, перезагрузился, сделал еще раз SecuirityCheck и на всякий случай новый Autolog.
Стоит ли удалять MBAM, а то он теперь болтается в трее?

---------------------------- [ UnwantedApps ] -----------------------------
Pando Media Booster v.2.6.0.7 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Этой программой пользуетесь?

Стоит ли удалять MBAM »
Да, удалите.

Этой программой пользуетесь? »
Вроде бы нет, насколько мне известно она устанавливается со многими ММО играми. Вероятно Mail.ru клиент для игр(GameNet), в свое время мне ее установил, на пару с Thorn.exe. Я им уже давно не пользуюсь, все никак руки не доходили удалить.
Сомневаюсь, что какой либо из: Steam, Battle.net, Uplay мог установить этот Пандо бустер, к ним как-то побольше доверия чем к мейл.ру.

Установил Аваст. Прошло два дня. Периодический посматриваю на загрузку ЦП/ГП и лишние процессы, пока вроде бы все тихо и спокойно. Из подозрительного - только медленная работа HDD, но наверное не удивительно, что после всех этих сканирований, установок и удалений он начал немного тупить.
Надеюсь проблема решена, и не побеспокоит меня в будущем. :)
Еще раз, огромное спасибо! И Удачи! :)

Рано радовался. :(
Сделал сканирование при загрузке, с помощью Аваста, и вот что было написано в лог файле aswBoot:
04/30/2017 03:36
Skanirovat' C:

Skanirovat' *STARTUP

Faiyl C:\SysData\install.exe|>control.exe inficirovan virusom Win32:Malware-gen, Pomeshennie v hranilishe
Kolichestvo naiydenyh papok: 36529
Kolichestvo proverenyh faiylov: 408798
Kolichestvo zarazhennyh faiylov: 1

Похоже эта ерунда будет появляться каждый раз после пары ребутов. Я уже настолько изолированно использую интернет, насколько это только возможно, а он снова и снова появляется... Прямо хоть форматируй все диски.
Еще заметил, что в этой самой папке SysData, с самого начала лечения лежит файл kill.exe, может быть все проблемы из-за него?

Сделайте так:
Временно отключите Аваст, предварительно восстановите этот файл из его карантина.
Затем отправьте его на www.virustotal.com
Результат последней проверки в виде ссылки покажите.

Было написано, что файл уже проверялся 5 дней назад. Сделал повторную проверку, вот результат:

https://www.virustotal.com/ru/file/050a103881f65c7358e4da5c61ab4f435d7333b492bf31027b5b08b4c69b2bd1/analysis/1493568614/

Действительно майнер.

Скачайте Universal Virus Sniffer (http://safezone.cc/resources/7/) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS. (http://safezone.cc/threads/14508/#post-79351)

Проверил заодно этот странный kill.exe, вот результат:

https://www.virustotal.com/ru/file/2483f0650f1f75aa2965fca56e0c66f4ce76cdadbbc1c26db6e51a95b2fa5016/analysis/1493574680/

У меня есть подозрения, что этот kill.exe и есть причина повторных появлений майнеров, т.к. все кроме него мы оба раза вычистили, а он там был с самого начала. Дата его изменения 2 месяца назад, видимо тогда я и подцепил эту заразу.

Сделал uVS.
Во время сканирования uVS'ом, Avast заблокировал какую-то угрозу. Ничего страшного, или стоило его отключить, перед сканированием?