Перейти к содержанию
Правила раздела

Не могу избавиться от Trojan.Multi.GenAutorunBITS.a

oxidizer05

Автор oxidizer05
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

oxidizer05 Новичок

oxidizer05

Опубликовано
Опубликовано

Антивирус обнаруживает, лечит, но через какое-то время снова находит.

​Плюс периодически во время работы на экран вылетает cmd.exe (картинки прикрепил)

Просьба помочь!

CollectionLog-2017.12.13-09.55.zip

post-48330-0-71949400-1513148587_thumb.jpg

post-48330-0-79395000-1513148726_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Valera\AppData\Local\DyBXdIePXS.bat', '');
 QuarantineFile('C:\Users\Valera\AppData\Local\ypOjEOc.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "CXFiRhJckd" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "hmkZNOWgi" /F', 0, 15000, true);
 DeleteFile('C:\Users\Valera\AppData\Local\DyBXdIePXS.bat', '32');
 DeleteFile('C:\Users\Valera\AppData\Local\ypOjEOc.bat', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
oxidizer05 Новичок

oxidizer05

Опубликовано
  • Автор
Опубликовано (изменено)

[KLAN-7341175648]

 

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В антивирусных базах информация по присланным вами файлам отсутствует:
DyBXdIePXS.bat
ypOjEOc.bat

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=57936

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

 

p.s. Файл с результатом лога после применения скрипта прикрепил.

CollectionLog-2017.12.14-10.01.zip

Изменено пользователем oxidizer05
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

@djulia07, здравствуйте!

Нет, действуйте по правилам: Порядок оформления запроса о помощи

Обратите внимание на п. №3

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-1837141181-2596386060-1170015133-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=821269
SearchScopes: HKU\S-1-5-21-1837141181-2596386060-1170015133-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=821269
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
2017-12-13 10:05 - 2017-12-13 10:05 - 000000000 ____D C:\Users\Valera\AppData\Local\Tempzxpsign0430e86a480b85c8
2017-12-13 10:04 - 2017-12-13 10:04 - 000000000 ____D C:\Users\Valera\AppData\Local\Tempzxpsigna872f7f8f3be5883
2017-11-30 10:01 - 2012-07-26 06:20 - 000001233 _____ C:\Users\Valera\AppData\Local\llhwUTs
2017-11-30 10:01 - 2012-07-26 06:20 - 000001207 _____ C:\Users\Valera\AppData\Local\wIMUrqD
2017-11-30 10:01 - 2012-07-26 06:20 - 000000067 _____ C:\Users\Valera\AppData\Local\ypOjEOc
2017-11-30 10:01 - 2012-07-26 06:20 - 000000067 _____ C:\Users\Valera\AppData\Local\DyBXdIePXS
AlternateDataStreams: C:\ProgramData\Microsoft:0Xjyld8QTAnrYLD2rBXFuSJW [2734]
AlternateDataStreams: C:\ProgramData\Microsoft:22IqL1cQ3czIkrGYUevMED [2842]
AlternateDataStreams: C:\ProgramData\Microsoft:fQQeCxr2P4fC47tBOLjdWThpaRh [2652]
AlternateDataStreams: C:\ProgramData\Microsoft:nJMU9A6pJoirGE3E9l34aanQ [750]
AlternateDataStreams: C:\ProgramData\Microsoft:plCo9THNyxPIPPkSh4xV [2694]
AlternateDataStreams: C:\ProgramData\Microsoft:YAkgQ9tAGXaCF6Idc31zZR [2878]
AlternateDataStreams: C:\ProgramData\PACE:D9CEF45F25BB24D7 [217]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhinhqhifh [0]
AlternateDataStreams: C:\Users\Valera\Local Settings:Tpdi1uSY862OEQew77lqW8nk [2452]
AlternateDataStreams: C:\Users\Valera\AppData\Local:Tpdi1uSY862OEQew77lqW8nk [2452]
AlternateDataStreams: C:\Users\Valera\AppData\Local\Application Data:Tpdi1uSY862OEQew77lqW8nk [2452]
AlternateDataStreams: C:\Users\Valera\AppData\Local\Temporary Internet Files:OdDjTkDMRorCVD02WIDtF5s [689]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:0Xjyld8QTAnrYLD2rBXFuSJW [2734]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:22IqL1cQ3czIkrGYUevMED [2842]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:fQQeCxr2P4fC47tBOLjdWThpaRh [2652]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:nJMU9A6pJoirGE3E9l34aanQ [750]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:plCo9THNyxPIPPkSh4xV [2694]
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:YAkgQ9tAGXaCF6Idc31zZR [2878]
AlternateDataStreams: C:\Users\Все пользователи\PACE:D9CEF45F25BB24D7 [217]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhinhqhifh [0]
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Стартовые страницы Хрома отредактируйте и удалите не нужные.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
oxidizer05 Новичок

oxidizer05

Опубликовано
  • Автор
Опубликовано

Пока всё в порядке. Окна cmd не вылетают, касперский никого не находит. Но на всякий случай понаблюдаю.

Может сделать полную проверку?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пока проделайте завершающие шаги:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • shimcot
      [РЕШЕНО] Не могу избавиться от Trojan.Siggen31.29298, который в дальнейшем распаковывает Tool.BtcMine.2794
      Автор shimcot
      С какого момента заметил заметное снижение частоты кадров. Вирус маскировался в процессах под Microsoft Network Realtime lnspection Service, но с припиской .exe. Оказалось майнер. Удалил, но, как оказалось, при каждом запуске ПК, если включен интернет и антивирус не ловит (сейчас если выключен) его, то все восстанавливается. Использовал Dr Web Cureit, он обозначил загрузчик как Trojan.Siggen31.29298. Помимо лечения самого вируса в C:\ProgramData\CAAService также чистил реестр, чтобы удалить из автозагрузки. Примечательно также то, что в какой-то момент папка CAAService и процесс Powershell.exe добавляются в исключения Windows Defender. Но, как упоминал ранее, вирус самовосстанавливается при наличии включенного интернета. Прилагаю отчет AutoLogger. Также покопавшись в похожих проблемах видел, что просят сделать отчет в uVS. На всякий случай прикреплю и его. Спасибо.
      CollectionLog-2025.06.17-14.54.zip DESKTOP-CSCVQP5_2025-06-17_14-32-53_v5.0.RC2.v x64.7z
    • Namido
      Помогите избавиться от майнера
      Автор Namido
      Уже два года как меня терроризирует непонятный майнер, никакие средства очистки не находят абсолютно ничего. Признаки: периодически как будто бы удаленный доступ к ноуту, открываются вкладки, курсор живет своей жизнью, нагружается процессор, иногда при заходе на любой сайт вылезает окно всплывающее "пароль" и "логин" с сылкой на сайт с казино(zagent?что-то такое). Сегодня совершенно случайно чистила ноут и увидела в логе строку"проверка пользователя John", загуглила, увидела, что проблема не новая.

      CollectionLog-2025.04.20-20.12.zip
    • triller
      Не могу активировать пробную версию
      Автор triller
      помогите кто-нибудь!!закачала пробную версию,активировать не могу!
    • Андрей2029
      Касперский+Опера - не могу зайти ни на один сайт с Cloudflare
      Автор Андрей2029
      Здравствуйте, товарищи. Проблема следующая. Поставил впервые за много десятков лет Оперу вместо Хрома. Последнюю версию, разумеется. Особо не ковырялся в настройках, стал пользоваться. И заметил, что не могу попасть ни на один сайт с Cloudflare - проверка на человека просто постоянно обновляется, не пуская на страницу. Например, вот Aescripts:

       
      Разумеется, я испробовал все возможные решения, что были в сети, будучи уверенным, что проблема либо в самой Опере (её настройках, которые я не менял), либо в VPN (которого у меня нет и в Опере он не включен), DNS и прочем. Все проверил, посмотрел, попереключал и ничего не помогает. При этом Edge на те же сайты пускает без вопросов. Пошёл было писать багрепорт в техподдержку Оперы, пока не додумался отключить Kaspersky Plus. И, о чудо, Cloudflare сразу же запустил на проблемный сайт. Включил Касперского, тыкнулся на другой сайт - опять тя же проблема. 
       
      Подскажите, куда смотреть, что копать, и почему проблема именно с Оперой? Хром псотавил назад - опять проблемы нет. Чем Опера так провинилась? Какие настройки посмотреть в Каспере, чтобы решить проблему?
    • Dad Paul
      [РЕШЕНО] Не могу избавиться от троянов
      Автор Dad Paul
      Вопреки всем предупреждениям и блокировкам, решил скачать читы на PUBG. В итоге-читы так и не получилось поставить,а вирусы получил. Видимых изменений в системе не наблюдаю, но каждые 5-15 минут находит вирусы трояна(разные),лечит\удаляет и всё по новой. Помогите избавиться


      avz_log.txt Addition.txt FRST.txt
×
×
  • Создать...