Trojan.Multi.GenAutorunTask не удалить

[wacian]

Добрый день. Помогите, пожалуйста, с удалением вирусов. Kaspersky KIS находит 2 вируса - Trojan.Multi.GenAutorunTask.c, Trojan.Multi.GenAutorunTaskFile.a. Проводит лечение активного заражения с перезагрузкой и снова их находит. Странно то, что Касперский стал ругаться после обновления Windows.

 

Kaspersky Virus Removal Tool не нашел угроз.

 

Прикрепила логи.

 

CollectionLog-2021.02.11-14.17.zip

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

NetShield Kit 1.3.28.0

VKMusic 4

 

 

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
R0 - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
R3 - HKCU\..\URLSearchHooks: (no name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - (no file)
O17 - DHCP DNS 1: 185.192.111.210
O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{42efc9c9-0843-433b-95da-54a36e0e3bde}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{42efc9c9-0843-433b-95da-54a36e0e3bde}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{4f3f0300-1142-4429-aa4d-1eaaa370ed77}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{4f3f0300-1142-4429-aa4d-1eaaa370ed77}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{961c5ac6-7849-498a-b85d-66f160b4a6ed}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{961c5ac6-7849-498a-b85d-66f160b4a6ed}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{ad06896e-4897-11e8-bd97-806e6f6e6963}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{ad06896e-4897-11e8-bd97-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{cd96a407-ae07-4b64-9c58-dd9955843237}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{cd96a407-ae07-4b64-9c58-dd9955843237}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{d8b776f8-e09a-4c84-a37a-b42368ae403d}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{d8b776f8-e09a-4c84-a37a-b42368ae403d}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{ed89674e-7fdc-4bdc-b813-0eb39ce88650}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{ed89674e-7fdc-4bdc-b813-0eb39ce88650}: [NameServer] = 37.59.58.122
O22 - Task: VKDJ - C:\ProgramData\VkontakteDJ\VKontakteDJ.exe /H (file missing)

 

Перезагрузите компьютер.

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

 

[wacian]

NetShield Kit 1.3.28.0 не отображается в списке программ

VKMusic 4 удалила

 

Логи прикрепила

AdwCleaner[C00].txt AdwCleaner[S00].txt

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[wacian]

Готово

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2820870761-2138295268-951225753-1002\...\MountPoints2: {38f5d44e-79e3-11e8-bdda-0028f816cf32} - "E:\HiSuiteDownLoader.exe" 
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  Policies: C:\Users\Елена\NTUSER.pol: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Task: {491BAE36-7D52-4AC1-8C46-9A7DAD64CB6F} - no filepath
  CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: Default -> cdn
  C:\Users\Елена\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
  NetShield Kit 1.3.28.0 (HKLM-x32\...\{3c2651cd-428f-4c80-95e1-46e6d8a93596}) (Version: 1.3.28.0 - Sigma Software) Hidden
  FirewallRules: [{730332F9-460A-4336-97A8-377AF2EA7611}] => (Allow) LPort=5357
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

28 минут назад, wacian сказал:

NetShield Kit 1.3.28.0 не отображается в списке программ

Уже должен появиться, удалите его там.

[wacian]

NetShield Kit 1.3.28.0 появился, удалила

Fixlog.txt

[Sandor]

Что с проблемой?

[wacian]

Не удаляются вирусы ((

[Sandor]

Соберите свежий CollectionLog Автологером.

 

Дополнительно:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[wacian]

Готово. Не хочет удаляться(

CollectionLog-2021.02.11-18.34.zip DESKTOP-JTFCG43_2021-02-11_18-40-09_v4.11.3.7z

 

Касперский находит вирус и удаляет каждый раз после перезагрузки компьютера

 

[akoK]

Упакуйте папку с содержимым (где антивирус находит вредоносное ПО) и в зависимости от размера сюда или на файлообменник с паролем virus. Возможно придется приостановить защиту антивируса дабы он не удалял объекты, чтоб можно было их сохранить.

[wacian]

13 часов назад, akoK сказал:

Упакуйте папку с содержимым (где антивирус находит вредоносное ПО) и в зависимости от размера сюда или на файлообменник с паролем virus. Возможно придется приостановить защиту антивируса дабы он не удалял объекты, чтоб можно было их сохранить.

Приостановила защиту, упаковала

Tasks.rar

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Folder: C:\ProgramData\Flock
  2021-02-10 15:35 - 2020-11-06 13:10 - 000000000 ____D C:\ProgramData\Flock
  Zip: c:\FRST\Quarantine\
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
• На рабочем столе появится архив Date_Time.zip (Дата_Время), его тоже прикрепите.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[wacian]

Архив тут: https://yadi.sk/d/TDsiXhjCM4tQmw

Fixlog.txt