trojan multi gen autorun task a как с этим удалить и справиться с последствиями?

[Kokudzhava 0]

Здравствуйте, подхватил trojan multi gen autorun task (a) это название, успел нажать кнопку лечить, во время проверки никуда не мог зайти и взаимодействовать, после перезагрузки, могу заходить вроде куда угодно, не работает Службы виндоус пишет запрещено администратором. Dxdiag открывает не сразу, остальное не проверял.

Пытался поставить или обновить касперский, нет результатов, удалить и зайти в Каспер тоже не могу пишет идет обновление и все. Подскажите что сможете.

Изменено 23 сентября, 2019 пользователем Kokudzhava

[thyrex 1 468]

Здравствуйте.

Порядок оформления запроса о помощи.

Логи прикрепите к следующему сообщению в данной теме.

[Kokudzhava 0]

Логи, KVRT ничего не нашел. В автозапуски появился BCU раньше не было никогда, почитал что это, отключил на всякий случай.

CollectionLog-2019.09.23-19.08.zip

report1.log

report2.log

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Kokudzhava 0]

Скан логи.

FRST Scan.rar

[thyrex 1 468]

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Task: {0126A541-0D7D-4D3D-8CBE-51B409A69245} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {03B4C510-56C7-4263-8BB8-CFF3749786DB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {05457AAC-7D54-4441-8841-B759FF411B19} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {26FC8771-DE68-4DB1-9338-EBC19821FD30} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {29C77411-3863-4ABB-95D7-D0321C9E291A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {305ADB22-0276-4710-92AF-3633D1E3FFBA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {43631470-8CC1-4F70-8443-457B58F9B42D} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {4D5AB6F2-7203-4796-B19B-EE53ABA485D5} - System32\Tasks\{7E5DD56C-1F9A-462A-ADF4-80E160B60793} => C:\Windows\system32\pcalua.exe -a C:\Users\Gamer\AppData\Local\Temp\ubi3B32.tmp.exe -d "C:\Program Files (x86)\Steam\steamapps\common\Might and Magic Heroes VI" <==== ATTENTION
Task: {4D9F5D18-37B0-40CB-96C1-85621F7B2C43} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {5142C571-EE31-4D37-B63D-2999DDA4C0E9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-URT -> No File <==== ATTENTION
Task: {643F39DB-E4F3-49F0-A278-874F412E7D86} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {C8364CF4-8560-4163-87A2-4E7CF325821C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {CDA56D45-6992-439A-BDB2-06496C9A718B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {FED4C89D-82E6-4A46-ACDF-47B5627CFEAC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Toolbar: HKU\S-1-5-21-1799516898-3657230195-848308151-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
AlternateDataStreams: C:\ProgramData\TEMP:05E9FFE5 [294]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [136]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [136]
AlternateDataStreams: C:\ProgramData\TEMP:DBC416F8 [128]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:05E9FFE5 [294]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [136]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [136]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:DBC416F8 [128]
FirewallRules: [{9C13BC0F-7251-4E7F-A563-E62BE38BA4F4}] => (Block) C:\program files (x86)\steam\steamapps\common\ark\shootergame\binaries\win64\shootergameserver.exe No File
FirewallRules: [{37DD590B-48CF-4226-8BD5-B0862E8C2E8F}] => (Block) C:\program files (x86)\steam\steamapps\common\ark\shootergame\binaries\win64\shootergameserver.exe No File
FirewallRules: [UDP Query User{BC0314DD-F0C7-4C0C-97CF-95BB8DEDED04}C:\program files (x86)\steam\steamapps\common\ark\shootergame\binaries\win64\shootergameserver.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\ark\shootergame\binaries\win64\shootergameserver.exe No File
FirewallRules: [TCP Query User{A3B4B08D-8A19-4F63-BEB9-C93C9C81AF0A}C:\program files (x86)\steam\steamapps\common\ark\shootergame\binaries\win64\shootergameserver.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\ark\shootergame\binaries\win64\shootergameserver.exe No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Kokudzhava 0]

Логи после Fix`а.

Fixlog.txt

[thyrex 1 468]

Проблема решена?

[Kokudzhava 0]

Нет, службы по прежнему заблокированы, касперский не удаляется и не запускается.

[thyrex 1 468]

В безопасном режиме тоже не можете удалить антивирус?

[Kokudzhava 0]

В безопасном режиме тоже не можете удалить антивирус?

В безопасный режим не подобрать было пароль, думаю в ближайшее время буду переустанавливать windows.