Не лечится и не удаляется Trojan.Multi.CertStor.a

[Sult51]

Добрый день всем. Помогите, пожалуйста, не лечится и не удаляется (стоит KES10)  Trojan.Multi.CertStor.a. Ноутбук не Lenovo и утилита удаления SuperFish не помогла. Звонил в тех.поддержку, меня вежливо отправили погулять. Помогите, пожалуйста.

Лог-файл не прикреплял, так как хотелось бы уточнить у ведующих людей, от чего эти логи? Ноутбук рабочий и я опасаюсь за конфиденциальность.

[Sandor]

Здравствуйте!

 

от чего эти логи?

От диагностирующих и лечащих утилит. Они доступны для скачивания только модераторам и участникам из группы Консультанты.

[Sult51]

 

 

Они доступны для скачивания только модераторам и участникам из группы Консультанты.

Хотелось бы скинуть личным сообщением или по электронной почте. Подскажите, пожалуйста, кому я могу это сделать.

[Sandor]

Мы не практикуем лечение через ЛС. К тому же при этом возникает неудобство для Вас. Допустим, Вы отправите мне, а я через 5 мин. окажусь занят и вернуться смогу не раньше следующей недели. На форуме же "мою" тему могут подхватить другие Консультанты.

[Sult51]

Спасибо, сомнения развеяны, прикрепляю лог-файл.

 

CollectionLog-2016.09.26-13.26.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(22);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Sult51]

Прикрепил

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ManualProxies: 0hxxp://veniatea.com/P2ROjoet/dl2olx.euk
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1426850244&from=amt&uid=ST9500325AS_5VERQA90XXXX5VERQA90
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1426850244&from=amt&uid=ST9500325AS_5VERQA90XXXX5VERQA90&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1426850244&from=amt&uid=ST9500325AS_5VERQA90XXXX5VERQA90
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1426850244&from=amt&uid=ST9500325AS_5VERQA90XXXX5VERQA90&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1426850244&from=amt&uid=ST9500325AS_5VERQA90XXXX5VERQA90&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1426850244&from=amt&uid=ST9500325AS_5VERQA90XXXX5VERQA90&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1426850244&from=amt&uid=ST9500325AS_5VERQA90XXXX5VERQA90&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1426850244&from=amt&uid=ST9500325AS_5VERQA90XXXX5VERQA90&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2113073448-610357900-449994133-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.omniboxes.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=3219913727_132775_0CC16812&ts=1426850326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2113073448-610357900-449994133-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.omniboxes.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=3219913727_132775_0CC16812&ts=1426850326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2113073448-610357900-449994133-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.omniboxes.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=3219913727_132775_0CC16812&ts=1426850326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2113073448-610357900-449994133-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=3219913727_132775_0CC16812&ts=1426850326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2113073448-610357900-449994133-1000 -> {E05CA384-E911-42AB-96E0-C8D46B1364F8} URL = hxxp://www.omniboxes.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=3219913727_132775_0CC16812&ts=1426850326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2113073448-610357900-449994133-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.omniboxes.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=3219913727_132775_0CC16812&ts=1426850326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2113073448-610357900-449994133-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://www.omniboxes.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=3219913727_132775_0CC16812&ts=1426850326&type=default&q={searchTerms}
Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.omniboxes.com/?type=sc&ts=1426850244&from=amt&uid=ST9500325AS_5VERQA90XXXX5VERQA90
CHR DefaultSearchURL: Profile 1 -> 
CHR Extension: (AVG Web TuneUp) - C:\Users\service engineer\AppData\Local\Google\Chrome\User Data\Default\Extensions\lkmdocpbnblchppecickbipihlkehdfg [2016-01-12]
AlternateDataStreams: C:\Windows:netNLSPreferences [0]
AlternateDataStreams: C:\Windows:nlsPreferences [0]
C:\Users\service engineer\AppData\Local\Temp\2gwvpjzg.dll
C:\Users\service engineer\AppData\Local\Temp\AcDeltree.exe
C:\Users\service engineer\AppData\Local\Temp\bassmod.dll
C:\Users\service engineer\AppData\Local\Temp\lzd8vbuu.dll
C:\Users\service engineer\AppData\Local\Temp\sz-ttlkl.dll
C:\Users\service engineer\AppData\Local\Temp\weew1iby.dll
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 26 сентября, 2016 пользователем Sandor

[Sult51]

Сделал как вы сказали, прикрепляю

Fixlog.txt

[Sandor]

Что с проблемой?

[Sult51]

С утра не вылезала. В течение дня сделаю проверку антивирусом и отпишусь дополнительно.

[Sandor]

Сделайте еще одну проверку:

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Sult51]

Только что запустил проверку, через 1 минуту появилась та же проблема.

[Sandor]

запустил проверку

Чем? В каком файле обнаруживает?

[Sult51]

 

 

Чем? В каком файле обнаруживает?

Проверял KES 10. Через минуту обнаруживает Trojan.Multi.CertStor.a в System memory. Пробовать проверку при помощи AdwCleaner (by ToolsLib) ?