Не могу избавиться от Trojan.Multi.GenAutorunBITS.a

[oxidizer05]

Антивирус обнаруживает, лечит, но через какое-то время снова находит.

​Плюс периодически во время работы на экран вылетает cmd.exe (картинки прикрепил)

Просьба помочь!

CollectionLog-2017.12.13-09.55.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Valera\AppData\Local\DyBXdIePXS.bat', '');
 QuarantineFile('C:\Users\Valera\AppData\Local\ypOjEOc.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "CXFiRhJckd" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "hmkZNOWgi" /F', 0, 15000, true);
 DeleteFile('C:\Users\Valera\AppData\Local\DyBXdIePXS.bat', '32');
 DeleteFile('C:\Users\Valera\AppData\Local\ypOjEOc.bat', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[oxidizer05]

[KLAN-7341175648]

 

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
DyBXdIePXS.bat
ypOjEOc.bat

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=57936

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

 

p.s. Файл с результатом лога после применения скрипта прикрепил.

CollectionLog-2017.12.14-10.01.zip

Изменено 14 декабря, 2017 пользователем oxidizer05

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[djulia07]

добрый день,такая же проблема! мне действовать аналогично??

[Sandor]

@djulia07, здравствуйте!

Нет, действуйте по правилам: Порядок оформления запроса о помощи

Обратите внимание на п. №3

[oxidizer05]

Сканирование сделал. Файл прикрепил.

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Прокси
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[oxidizer05]

Сделано

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  SearchScopes: HKU\S-1-5-21-1837141181-2596386060-1170015133-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=821269
  SearchScopes: HKU\S-1-5-21-1837141181-2596386060-1170015133-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=821269
  CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
  2017-12-13 10:05 - 2017-12-13 10:05 - 000000000 ____D C:\Users\Valera\AppData\Local\Tempzxpsign0430e86a480b85c8
  2017-12-13 10:04 - 2017-12-13 10:04 - 000000000 ____D C:\Users\Valera\AppData\Local\Tempzxpsigna872f7f8f3be5883
  2017-11-30 10:01 - 2012-07-26 06:20 - 000001233 _____ C:\Users\Valera\AppData\Local\llhwUTs
  2017-11-30 10:01 - 2012-07-26 06:20 - 000001207 _____ C:\Users\Valera\AppData\Local\wIMUrqD
  2017-11-30 10:01 - 2012-07-26 06:20 - 000000067 _____ C:\Users\Valera\AppData\Local\ypOjEOc
  2017-11-30 10:01 - 2012-07-26 06:20 - 000000067 _____ C:\Users\Valera\AppData\Local\DyBXdIePXS
  AlternateDataStreams: C:\ProgramData\Microsoft:0Xjyld8QTAnrYLD2rBXFuSJW [2734]
  AlternateDataStreams: C:\ProgramData\Microsoft:22IqL1cQ3czIkrGYUevMED [2842]
  AlternateDataStreams: C:\ProgramData\Microsoft:fQQeCxr2P4fC47tBOLjdWThpaRh [2652]
  AlternateDataStreams: C:\ProgramData\Microsoft:nJMU9A6pJoirGE3E9l34aanQ [750]
  AlternateDataStreams: C:\ProgramData\Microsoft:plCo9THNyxPIPPkSh4xV [2694]
  AlternateDataStreams: C:\ProgramData\Microsoft:YAkgQ9tAGXaCF6Idc31zZR [2878]
  AlternateDataStreams: C:\ProgramData\PACE:D9CEF45F25BB24D7 [217]
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhinhqhifh [0]
  AlternateDataStreams: C:\Users\Valera\Local Settings:Tpdi1uSY862OEQew77lqW8nk [2452]
  AlternateDataStreams: C:\Users\Valera\AppData\Local:Tpdi1uSY862OEQew77lqW8nk [2452]
  AlternateDataStreams: C:\Users\Valera\AppData\Local\Application Data:Tpdi1uSY862OEQew77lqW8nk [2452]
  AlternateDataStreams: C:\Users\Valera\AppData\Local\Temporary Internet Files:OdDjTkDMRorCVD02WIDtF5s [689]
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:0Xjyld8QTAnrYLD2rBXFuSJW [2734]
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:22IqL1cQ3czIkrGYUevMED [2842]
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:fQQeCxr2P4fC47tBOLjdWThpaRh [2652]
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:nJMU9A6pJoirGE3E9l34aanQ [750]
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:plCo9THNyxPIPPkSh4xV [2694]
  AlternateDataStreams: C:\Users\Все пользователи\Microsoft:YAkgQ9tAGXaCF6Idc31zZR [2878]
  AlternateDataStreams: C:\Users\Все пользователи\PACE:D9CEF45F25BB24D7 [217]
  AlternateDataStreams: C:\Users\Все пользователи\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhinhqhifh [0]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Стартовые страницы Хрома отредактируйте и удалите не нужные.

[oxidizer05]

Готово

Fixlog.txt

[Sandor]

Что с проблемой?

[oxidizer05]

Пока всё в порядке. Окна cmd не вылетают, касперский никого не находит. Но на всякий случай понаблюдаю.

Может сделать полную проверку?

[Sandor]

Пока проделайте завершающие шаги:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[oxidizer05]

Готово

SecurityCheck.txt