Обнаружено: Trojan.Multi.GenAutorunTask.b Kaspersky CRYSTAL3.0 неможет вылечить

[Virus2000]

System Memory    Обнаружено: Trojan.Multi.GenAutorunTask.b        12.06.2017 1:00:21    обнаруживает при проверке важных областей ... лечение с перезагрузкой не даёт результатов ... возможно занесено в систему при скачивании и установке игры
 

CollectionLog-2017.06.12-00.50.zip

[Sandor]

Здравствуйте!

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[regist]

+ 1) в Hosts сами добавляли?

91.210.165.150 google-analytics.com www.google-analytics.com mc.yandex.ru pagead2.googlesyndication.com top-fwz1.mail.ru googletagmanager.com www.googletagmanager.com b.scorecardresearch.com

2) Диск Z:\ это у вас что?

 

3) "Пофиксите" в HijackThis:

O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\Logon-5d - C:\Windows\system32\GWX\GWX.exe /event:7 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d - C:\Windows\system32\GWX\GWX.exe /event:8 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d - C:\Windows\system32\GWX\GWX.exe /event:6 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d - C:\Windows\system32\GWX\GWX.exe /event:9 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd - C:\Windows\system32\GWX\GWX.exe /event:11 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\Time-5d - C:\Windows\system32\GWX\GWX.exe /event:10 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B - C:\Windows\system32\GWX\GWXDetector.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\launchtrayprocess - C:\Windows\system32\GWX\GWX.exe /tasklaunch (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\refreshgwxconfig - C:\Windows\system32\GWX\GWXDetector.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent - C:\Windows\system32\GWX\GWXDetector.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\refreshgwxcontent - C:\Windows\system32\GWX\GWXConfigManager.exe /RefreshContent (file missing)

[Virus2000]

Здравствуйте!

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

добрый день

вот отчёт

 

+ 1) в Hosts сами добавляли?

91.210.165.150 google-analytics.com www.google-analytics.com mc.yandex.ru pagead2.googlesyndication.com top-fwz1.mail.ru googletagmanager.com www.googletagmanager.com b.scorecardresearch.com

2) Диск Z:\ это у вас что?

1)в ручную файл не редактировал ... если скажите что в этом файле подменяется то смогу сказать менял ли используя доп. ресурсы...

2)Z это раздел второго жёсткого диска... использую для хранения большей части информации

3) "Пофиксите" в HijackThis:

O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\Logon-5d - C:\Windows\system32\GWX\GWX.exe /event:7 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d - C:\Windows\system32\GWX\GWX.exe /event:8 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d - C:\Windows\system32\GWX\GWX.exe /event:6 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d - C:\Windows\system32\GWX\GWX.exe /event:9 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd - C:\Windows\system32\GWX\GWX.exe /event:11 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\Time-5d - C:\Windows\system32\GWX\GWX.exe /event:10 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B - C:\Windows\system32\GWX\GWXDetector.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\launchtrayprocess - C:\Windows\system32\GWX\GWX.exe /tasklaunch (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\refreshgwxconfig - C:\Windows\system32\GWX\GWXDetector.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent - C:\Windows\system32\GWX\GWXDetector.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\refreshgwxcontent - C:\Windows\system32\GWX\GWXConfigManager.exe /RefreshContent (file missing)

cwx случайно не модуль обновления виндовс? просто что то знакомое я уже убирал из системы

если всё же модуль обновления виндовс нельзя ли просто его удалить без фикса?

AdwCleanerS0.txt

[regist]

 

 

в ручную файл не редактировал ... если скажите что в этом файле подменяется то смогу сказать менял ли используя доп. ресурсы...

Если бы вы это сделали, то скорее всего вручную. В этот файл добавлена указанная мной строчка.

Её смысл, что при попытке обратиться к указанным там сайтам их будет перенаправлять на IP 91.210.165.150.

 

 

Z это раздел второго жёсткого диска.

То есть это постоянно подключённый раздел? Странно просто, что у него такая буква. Обычная такие буквы у съёмных дисков.

 

 

cwx случайно не модуль обновления виндовс? просто что то знакомое я уже убирал из системы

Да это модуль обновления до виндовс 10. Точней хвосты от него, сами файлы как вы заметили уже удалили, а вот задачи которые их должны были запускать остались.

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
  • Очистить Hosts файл
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Virus2000]

да это постоянно подключенный раздел. ну в принципе буквы дисков можно на своё усмотрение выбирать=)

отчёт прикрепляю

проблема осталась

 

 

 

 

 

AdwCleanerC0.txt

[regist]

Свежий лог сканирования AdwCleaner прикрепите.

 

И что с проблемой?

[Virus2000]

проблема осталась

AdwCleanerS2.txt

[regist]

1) В AdwCleaner ещё раз очистку сделайте.

 

2) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

[Virus2000]

1) В AdwCleaner ещё раз очистку сделайте.

 

2) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

 

1) очистку сделал

2) образ автозапуска прилагаю

VIRUS2000_2017-06-12_15-20-30.7z

[regist]

Выполните скрипт в uVS

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
BREG
;---------command-block---------
delref %SystemDrive%\USERS\VIRUS\APPDATA\LOCAL\TEMP\CHROME_BITS_2860_5795\408_ALL_STHSET.CRX2
delref J:\SETUP.EXE
delref H:\SETUP.EXE
delref I:\SETUP.EXE
delref %Sys32%\GWX\GWX.EXE
delref %Sys32%\GWX\GWXUI.DLL
delref %Sys32%\GWX\GWXUX.EXE
delref WMI_NTEVENTLOGEVENTCONSUMER\SCM EVENT LOG CONSUMER.[SCM EVENT LOG FILTER]
delref J:\AUTORUN.EXE
delref L:\AUTORUN.EXE
delref I:\AUTORUN.EXE
delref G:\AUTORUN.EXE
delref H:\AUTORUN.EXE
delref K:\AUTORUN.EXE
apply

restart

проверьте проблему.

[Virus2000]

Выполнил, проблема осталась

[regist]

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[Virus2000]

Скачайте Malwarebytes' Anti-Malware. Установите.

На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

 

готово

танцы с бубном.txt

[regist]

Эта папка вам знакома?

C:\PROGRAMDATA\FILES MANAGER

Если да, то удалите всё кроме ней. Если нет, то удаляйте всё.

 

И ещё раз провертие проблему.