Перейти к содержимому


Фотография
- - - - -

Касперский не удаляет Trojan.Multi.GenAutorunTask.b

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 27

#1 OFF   Мустафа

Мустафа

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 23 Апрель 2019 - 14:22

Касперский определяет трояна, но вылечить его не может. Лог прилагаю.

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 545

Отправлено 23 Апрель 2019 - 14:38

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Auslogics BoostSpeed 5.5.1.0
OneClick, версия 2.0.0.0
Кнопка "Яндекс" на панели задач


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('{7A96945D-E3A2-9FC3-1A5C-ED7612DD5F45}');
 DeleteSchedulerTask('{B624C476-6C87-FEED-FF0B-73C2A0E42E72}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(13);
RebootWindows(false);
end.
Компьютер перезагрузится.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#3 OFF   Мустафа

Мустафа

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 25 Апрель 2019 - 08:22

Здравствуйте! Сделал всё, как в Вашей инструкции. После полной проверки Касперским троян остался.

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 545

Отправлено 25 Апрель 2019 - 08:50

Деинсталлируйте Unchecky v1.2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#5 OFF   Мустафа

Мустафа

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 25 Апрель 2019 - 09:09

Выполнил. Файлы прилагаю.

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   92,09К   скачиваний 1
  • Прикрепленный файл  FRST.txt   43,36К   скачиваний 1

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 545

Отправлено 25 Апрель 2019 - 09:20

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-877671305-1972085422-1052749057-1001\...\MountPoints2: {0e3850a4-4250-11e9-833e-90e6ba123c21} - "L:\startme.exe" 
    HKU\S-1-5-21-877671305-1972085422-1052749057-1001\...\MountPoints2: {242073b1-c797-11e8-82de-90e6ba123c21} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-877671305-1972085422-1052749057-1001\...\MountPoints2: {871c0bd6-1481-11e8-824e-806e6f6e6963} - "I:\MInstAll\MInst.exe" 
    FF Extension: (Пульт) - C:\Users\Алексей\AppData\Roaming\Mozilla\Firefox\Profiles\06s0u2y4.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2018-02-19] [hxxps://crxmailru.cdnmail.ru/ff_pult/update.json]
    CHR HKU\S-1-5-21-877671305-1972085422-1052749057-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ddadgcdmddljmpkpinkalnepdepplpkj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-877671305-1972085422-1052749057-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [432]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [432]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [156]
    AlternateDataStreams: C:\Users\Public\AppData:CSM [464]
    AlternateDataStreams: C:\Users\Алексей\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Алексей\Application Data:NT2 [432]
    AlternateDataStreams: C:\Users\Алексей\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Алексей\AppData\Roaming:NT2 [432]
    AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432]
    AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [156]
    FirewallRules: [{325A6AB3-571D-46E4-9FF1-B9469AA7819D}] => (Allow) C:\Program Files (x86)\uTorrent\uTorrent.exe No File
    FirewallRules: [{64D4B4F1-6A5E-4905-83A3-526003E2A12E}] => (Allow) C:\Program Files (x86)\uTorrent\uTorrent.exe No File
    FirewallRules: [{DD913D2C-0145-4158-B73C-A6ED50B12D42}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe No File
    FirewallRules: [{28394420-412B-402A-AF7A-46EBB9800E32}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe No File
    FirewallRules: [{6F3ECACE-61AA-411B-A534-DAA50BA4AD0A}] => (Allow) D:\Program Files\Nox\bin\Nox.exe No File
    FirewallRules: [{F60454FF-ECA9-4187-981B-DAF1E65EF912}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#7 OFF   Мустафа

Мустафа

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 25 Апрель 2019 - 13:07

Всё сделал.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   8,48К   скачиваний 1

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 545

Отправлено 25 Апрель 2019 - 13:08

Достаточно было один раз выполнить скрипт.
Очистите хранилища антивируса и сделайте еще раз проверку. Результат сообщите.
  • 0
Изображение

#9 OFF   Мустафа

Мустафа

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 27 Апрель 2019 - 09:06

Очистил карантин Касперского и провёл полное сканирование. троян по-прежнему определяется в угрозах.
  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 545

Отправлено 27 Апрель 2019 - 15:38

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#11 OFF   Мустафа

Мустафа

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 29 Апрель 2019 - 08:30

Здравствуйте! Всё сделал при отключенном Касперском. Найдено 4 угрозы. Устранять? Файл прилагаю.

Прикрепленные файлы


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 545

Отправлено 29 Апрель 2019 - 12:24

1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#13 OFF   Мустафа

Мустафа

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 29 Апрель 2019 - 13:18

Сделал всё, согласно 1 и 2 пунктов. Прилагаю файлы.

Прикрепленные файлы


  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 545

Отправлено 30 Апрель 2019 - 14:10

Виноват, логи FRST вы уже выкладывали.
Только лог очистки AdwCleaner должен быть с символом [Cxx], а не [Sxx].

троян по-прежнему определяется в угрозах

Если это ещё сохраняется:
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
  • 0
Изображение

#15 OFF   Мустафа

Мустафа

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 01 Май 2019 - 09:43

Здравствуйте и с праздником! Сделал всё по Вашей инструкции. Единственное - не разглядел мелкий текст, поэтому сканировал дважды. Второй раз запускал от имени администратора. Архивы логов прилагаю.

Прикрепленные файлы


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных