Не удаляется Trojan.Multi.GenAutorunTask.c

[yom]

Борюсь с этим вирусом уже очень долго, я убежден что он до сих пор не удален. При запуске системы происходят очень странные вещи: на секунду появляется что то в углу, затем по рабочему столу появляются и удаляются какие то ярлыки. Все это в течении буквально секунды. Иногда в запущенных программах на таскбаре появляется желтая шестеренка, которую невозможно никак открыть. Совершенно случайно и при этом не понятно что это в принципе такое. Avast вообще не справлялся со своими обязанностями, поставил вашу программу Kaspersky Anti-Virus, через какой то время он обнаружил Trojan.Multi.GenAutorunTask.c . После лечения компьютер выдал синий экран, а потом в отчете написано что он вылечил этот косяк. Но программа эти ярлыки никуда не пропали, я уже всеми способами пытался очистить автозагрузки, мониторил процессы, устанавливал malwarebytes, пытался загрузиться с Rescue Disk, а так же через dr web live disk, avira rescue system. Ни один из образов нормально не заработал) Диск от Касперского видимо не совместим с моей материнской платой. Надеюсь вы мне все таки поможете)CollectionLog-2022.09.08-02.29.zip

[Sandor]

Здравствуйте!

 

Ярлыки

Цитата

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IK Multimedia\Lurssen Mastering Console.lnk
C:\Users\yom\Desktop\Kapital Yom\ultrafossilhaze\0 - ysms\ysm33\ysms - Ярлык.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NinjaGram\NinjaGram.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NinjaGram\Деинсталлировать NinjaGram.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\Ozone 9\Ozone 9 User Guide.lnk
C:\Users\yom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bandicam\Bandicam.lnk
C:\Users\yom\Desktop\uf2\Интерполяция\posekai0)@___))1.mp3 - Ярлык.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AudioThing\Frostbite - User Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AudioThing\Type A - User Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\Neoverb Pro\Neutron 3 Manual.lnk
C:\Users\yom\Desktop\uf2\Интерполяция\дждд)-33а.mp3 - Ярлык.lnk
C:\Users\yom\Desktop\uf2\Интерполяция\gamma2.mp3 - Ярлык.lnk
C:\Users\yom\Desktop\uf2\Интерполяция\po-++03DD.mp3 - Ярлык.lnk
C:\Users\yom\Desktop\uf2\Интерполяция\Й_)))ВВ)))Ф.mp3 - Ярлык ().lnk
C:\Users\yom\Desktop\uf2\Интерполяция\А_В)))сллвщц((2э.mp3 - Ярлык.lnk
C:\Users\yom\Desktop\uf2\Интерполяция\weww.mp3 - Ярлык.lnk
C:\Users\yom\Desktop\uf2\Интерполяция\questions.mp3 - Ярлык.lnk
C:\Users\yom\Desktop\uf2\Интерполяция\Ю.mp3 - Ярлык.lnk
C:\Windows\ServiceProfiles\SSISTELEMETRY150\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Windows\ServiceProfiles\SSISScaleOutWorker150\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Windows\ServiceProfiles\MSSQLFDLauncher\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Windows\ServiceProfiles\SSISScaleOutMaster150\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Windows\ServiceProfiles\MsDtsServer150\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Windows\ServiceProfiles\MSSQLSERVER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Windows\ServiceProfiles\MSSQLServerOLAPService\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Windows\ServiceProfiles\SSASTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Windows\ServiceProfiles\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Windows\ServiceProfiles\MSSQLLaunchpad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Windows\ServiceProfiles\SQL Server Distributed Replay Controller\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio\Android Studio.lnk

исправьте с помощью утилиты ClearLNK. (Связанные с ними файлы отсутствуют, поэтому ярлыки просто удалим).
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

На вашем ролике толком ничего не видно. Покажите скриншотом что именно вызывает беспокойство.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[yom]

Извините за качество) Понимаю на видео плохо заметно, но иного варианта его поймать нету. Потому что он появляется буквально на долю секунды. Поэтому я сделал скриншот в видео (0:02 секунда если смотреть внимательно там видно). Пока делал этот пост появилась эта загадочная шестеренка и тоже исчезла, прикрепляю все к посту.

ClearLNK-2022.09.08_10.37.49.log Addition.txt FRST.txt

[Sandor]

Сначала будет некоторая т.н. генеральная уборка.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhioihinfh [0]
  StartBatch:
    net stop bits
    net stop cryptSvc
    net stop wuauserv
    net stop msiserver
    del /s /q C:\Windows\SoftwareDistribution\download\*.*
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    net start bfe
    net start bits
    net start cryptSvc
    net start eventsystem
    net start msiserver
    net start rpcss
    net start sdrsvc
    net start trustedinstaller
    net start vss
    net start winmgmt
    net start wuauserv
  EndBatch:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Скрипт может выполняться долго, дождитесь окончания.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Если проблема сохранится, действуйте по следующей методике:

 

Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
 

[yom]

Проблема на месте! Пошел отключать службы как вы рассказали.

Fixlog.txt

[yom]

Дело в этой службе. Видимо она отвечает за какие то системные вещи в моем ноутбуке. У меня в тачпаде встроенный экран, судя по всему она его выключает, если это нужно. Может быть я просто беспокойно ко всему этому отнесся, но мне кажется ведет себя эта служба очень странно. Возможно в ней присутствует какой-то эксплойт, потому что как мне кажется раньше я не замечал подобных странных вещей, появилось это пару месяцев назад. Что думаете, как себя обезопасить?

[Sandor]

Пуск - Параметры - Приложения

Временно деинсталлируйте ScreenXpert и последите. Если решится, а программа нужна, ждите её обновления (или напишите в тех-поддержку Asus).

 

Скриптом было в том числе исправлено:

Цитата

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

В завершение по нашей части:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[yom]

SecurityCheck.txt

[Sandor]

-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie-Plus v1.2.8 v.1.2.8 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.28.0 v.2.28.0 Внимание! Скачать обновления
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft SQL Server 2012 Native Client  v.11.4.7001.0 Данная программа больше не поддерживается разработчиком.
Oracle VM VirtualBox 6.1.8 v.6.1.8 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.24.0.126 v.3.24.0.126 Внимание! Скачать обновления
Python 3.10.1 (64-bit) v.3.10.1150.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.19.4651 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46348 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 251 (64-bit) v.8.0.2510.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.16 Внимание! Скачать обновления
Spotify v.1.1.81.604.gccacfc8c Внимание! Скачать обновления
QuickTime Alternative 3.2.2 v.3.2.2 Данная программа больше не поддерживается разработчиком.
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
 

Обратите внимание на указанное и по возможности исправьте.

 

Два антивируса могут вызывать конфликты, поэтому один оставьте, второй деинсталлируйте.

 

Читайте Рекомендации после удаления вредоносного ПО

[yom]

Спасибо большое что уделили мне время) Хорошего вам дня!

[Sandor]

Удачи!