Обнаружено: Trojan.Multi.GenAutorunTask.b Kaspersky CRYSTAL3.0 неможет вылечить

[Virus2000]

Эта папка вам знакома?

C:\PROGRAMDATA\FILES MANAGER

Если да, то удалите всё кроме ней. Если нет, то удаляйте всё.

 

И ещё раз провертие проблему.

удалил всё

проблема осталась

провёл ещё раз проверку предыдушим средством - угроз не обнаружено

[regist]

В безопасном режиме пока проверьте, проблема будет?

+ Cвежие логи Автологера сделайте.

[Virus2000]

В безопасном режиме пока проверьте, проблема будет?

+ Cвежие логи Автологера сделайте.

в безопасном режиме проблема так же присутствует

CollectionLog-2017.06.12-23.38.zip

[regist]

1) Выполните скрипт в uVS

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
BREG
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\YANDEX\YANDEXDISK\YANDEXDISKSHELLEXT-4724.DLL
delref {DEDAF650-12B8-48F5-A843-BBA100716106}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
zoo %SystemDrive%\USERS\VIRUS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XGTWBJP8.DEFAULT-1444267271585\SEARCHPLUGINS\OURSURFING.XML
delall %SystemDrive%\USERS\VIRUS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XGTWBJP8.DEFAULT-1444267271585\SEARCHPLUGINS\OURSURFING.XML
czoo
restart

2) пожалуйста, сделайте лог AutoRuns
Скачайте утилиту, распакуйте. Запустите правой кнопкой от имени администратора.
В меню Options -  Scan Options поставьте все галочки - нажмите Rescan.
Остальные настройки не трогайте. После этого дождитесь окончания создания списка. Сохраните лог - файл с расширением .arn
Заархивируйте его выложите его тут.

Изменено 12 июня, 2017 пользователем regist

[Virus2000]

1) Выполните скрипт в uVS

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
BREG
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\YANDEX\YANDEXDISK\YANDEXDISKSHELLEXT-4724.DLL
delref {DEDAF650-12B8-48F5-A843-BBA100716106}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
zoo %SystemDrive%\USERS\VIRUS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XGTWBJP8.DEFAULT-1444267271585\SEARCHPLUGINS\OURSURFING.XML
delall %SystemDrive%\USERS\VIRUS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XGTWBJP8.DEFAULT-1444267271585\SEARCHPLUGINS\OURSURFING.XML
czoo
restart

2) пожалуйста, сделайте лог AutoRuns

Скачайте утилиту, распакуйте. Запустите правой кнопкой от имени администратора.

В меню Options -  Scan Options поставьте все галочки - нажмите Rescan.

Остальные настройки не трогайте. После этого дождитесь окончания создания списка. Сохраните лог - файл с расширением .arn

Заархивируйте его выложите его тут.

скрипт выполнил

VIRUS2000.rar

[regist]

Попробуйте ещё раз передать лог Авторанс, но со снятыми галочками.

[Virus2000]

Попробуйте ещё раз передать лог Авторанс, но со снятыми галочками.

0VIRUS2000.rar

[regist]

Дополнительно в опциях сканирования снимать не надо было, как минимум проверку на вирустотал надо было оставить, да и проверка ЭЦП не помешала бы.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Virus2000]

Дополнительно в опциях сканирования снимать не надо было, как минимум проверку на вирустотал надо было оставить, да и проверка ЭЦП не помешала бы.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

готово

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Расширение

Charles Autoconfiguration

в Mozilla ставили самостоятельно?

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  ProxyServer: [S-1-5-21-1590347190-3323006054-2564412868-1001] => http=127.0.0.1:8888;https=127.0.0.1:8888
  AutoConfigURL: [S-1-5-21-1590347190-3323006054-2564412868-1001] => http=127.0.0.1:8888;https=127.0.0.1:8888
  Task: {62459599-FC9A-4607-9727-8B20D09FDBEB} - \KMSAutoNet -> No File <==== ATTENTION
  Task: {7B609A9D-EC0C-4A62-AB50-02E6CD8429FF} - \CCleanerSkipUAC -> No File <==== ATTENTION
  Task: {7E91D76B-4597-437C-B622-C87CEC5815B3} - \Lenovo\Lenovo Customer Feedback Program 35 -> No File <==== ATTENTION
  Task: {8861B46F-F02B-4868-BF6F-B664FA2B0428} - \Virus -> No File <==== ATTENTION
  Task: {93AA3FDB-F43D-47C9-AB2E-DD6ECA6FC707} - \Adobe Flash Player PPAPI Notifier -> No File <==== ATTENTION
  Task: {A8265A23-BD68-4E38-9A99-F482ECEC06D6} - \HPCustParticipation HP Deskjet 1000 J110 series -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Virus2000]

Расширение

Charles Autoconfiguration

в Mozilla ставили самостоятельно?

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  ProxyServer: [S-1-5-21-1590347190-3323006054-2564412868-1001] => http=127.0.0.1:8888;https=127.0.0.1:8888
  AutoConfigURL: [S-1-5-21-1590347190-3323006054-2564412868-1001] => http=127.0.0.1:8888;https=127.0.0.1:8888
  Task: {62459599-FC9A-4607-9727-8B20D09FDBEB} - \KMSAutoNet -> No File <==== ATTENTION
  Task: {7B609A9D-EC0C-4A62-AB50-02E6CD8429FF} - \CCleanerSkipUAC -> No File <==== ATTENTION
  Task: {7E91D76B-4597-437C-B622-C87CEC5815B3} - \Lenovo\Lenovo Customer Feedback Program 35 -> No File <==== ATTENTION
  Task: {8861B46F-F02B-4868-BF6F-B664FA2B0428} - \Virus -> No File <==== ATTENTION
  Task: {93AA3FDB-F43D-47C9-AB2E-DD6ECA6FC707} - \Adobe Flash Player PPAPI Notifier -> No File <==== ATTENTION
  Task: {A8265A23-BD68-4E38-9A99-F482ECEC06D6} - \HPCustParticipation HP Deskjet 1000 J110 series -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

чарли сам ставил

Fixlog.txt

[Sandor]

Фикс нужно было только один раз выполнить

 

Что сейчас с проблемой?

[Virus2000]

Фикс нужно было только один раз выполнить

 

Что сейчас с проблемой?

с фиксом намудрил.... первый раз подумал что из буфера выполнится(и он выполнился) второй раз как описано...

проверка важных областей проблему не обнаружило

в течении суток отпишусь после полной проверки

и хотелось бы узнать что это было , принцип действия, и примерное местоположение заразы

спасибо за помощь

[Virus2000]

проблема больше не появлялась

[Sandor]

Хорошо, в завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.