Перейти к содержанию
Правила раздела

Обнаружено: Trojan.Multi.GenAutorunTask.b Kaspersky CRYSTAL3.0 неможет вылечить

Virus2000

Автор Virus2000,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Virus2000

Virus2000 0

Опубликовано
  • Автор
Опубликовано

Эта папка вам знакома?

C:\PROGRAMDATA\FILES MANAGER

Если да, то удалите всё кроме ней. Если нет, то удаляйте всё.

 

И ещё раз провертие проблему.

удалил всё

проблема осталась

провёл ещё раз проверку предыдушим средством - угроз не обнаружено

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 33
  • Created
  • Последний ответ

Top Posters In This Topic

  • Virus2000

    17

  • regist

    13

  • Sandor

    4

Popular Days

Top Posters In This Topic

Popular Days

Virus2000

Virus2000 0

Опубликовано
  • Автор
Опубликовано

В безопасном режиме пока проверьте, проблема будет?

+ Cвежие логи Автологера сделайте.

в безопасном режиме проблема так же присутствует

CollectionLog-2017.06.12-23.38.zip

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано (изменено)

1) Выполните скрипт в uVS

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
BREG
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\YANDEX\YANDEXDISK\YANDEXDISKSHELLEXT-4724.DLL
delref {DEDAF650-12B8-48F5-A843-BBA100716106}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
zoo %SystemDrive%\USERS\VIRUS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XGTWBJP8.DEFAULT-1444267271585\SEARCHPLUGINS\OURSURFING.XML
delall %SystemDrive%\USERS\VIRUS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XGTWBJP8.DEFAULT-1444267271585\SEARCHPLUGINS\OURSURFING.XML
czoo
restart

2) пожалуйста, сделайте лог AutoRuns
Скачайте утилиту, распакуйте. Запустите правой кнопкой от имени администратора.
В меню Options -  Scan Options поставьте все галочки - нажмите Rescan.
Остальные настройки не трогайте. После этого дождитесь окончания создания списка. Сохраните лог - файл с расширением .arn
Заархивируйте его выложите его тут.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
Virus2000

Virus2000 0

Опубликовано
  • Автор
Опубликовано

1) Выполните скрипт в uVS

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
BREG
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\ROAMING\YANDEX\YANDEXDISK\YANDEXDISKSHELLEXT-4724.DLL
delref {DEDAF650-12B8-48F5-A843-BBA100716106}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
zoo %SystemDrive%\USERS\VIRUS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XGTWBJP8.DEFAULT-1444267271585\SEARCHPLUGINS\OURSURFING.XML
delall %SystemDrive%\USERS\VIRUS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XGTWBJP8.DEFAULT-1444267271585\SEARCHPLUGINS\OURSURFING.XML
czoo
restart

2) пожалуйста, сделайте лог AutoRuns

Скачайте утилиту, распакуйте. Запустите правой кнопкой от имени администратора.

В меню Options -  Scan Options поставьте все галочки - нажмите Rescan.

Остальные настройки не трогайте. После этого дождитесь окончания создания списка. Сохраните лог - файл с расширением .arn

Заархивируйте его выложите его тут.

скрипт выполнил

VIRUS2000.rar

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

Дополнительно в опциях сканирования снимать не надо было, как минимум проверку на вирустотал надо было оставить, да и проверка ЭЦП не помешала бы.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Virus2000

Virus2000 0

Опубликовано
  • Автор
Опубликовано

Дополнительно в опциях сканирования снимать не надо было, как минимум проверку на вирустотал надо было оставить, да и проверка ЭЦП не помешала бы.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

готово

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Расширение

Charles Autoconfiguration

в Mozilla ставили самостоятельно?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
ProxyServer: [S-1-5-21-1590347190-3323006054-2564412868-1001] => http=127.0.0.1:8888;https=127.0.0.1:8888
AutoConfigURL: [S-1-5-21-1590347190-3323006054-2564412868-1001] => http=127.0.0.1:8888;https=127.0.0.1:8888
Task: {62459599-FC9A-4607-9727-8B20D09FDBEB} - \KMSAutoNet -> No File <==== ATTENTION
Task: {7B609A9D-EC0C-4A62-AB50-02E6CD8429FF} - \CCleanerSkipUAC -> No File <==== ATTENTION
Task: {7E91D76B-4597-437C-B622-C87CEC5815B3} - \Lenovo\Lenovo Customer Feedback Program 35 -> No File <==== ATTENTION
Task: {8861B46F-F02B-4868-BF6F-B664FA2B0428} - \Virus -> No File <==== ATTENTION
Task: {93AA3FDB-F43D-47C9-AB2E-DD6ECA6FC707} - \Adobe Flash Player PPAPI Notifier -> No File <==== ATTENTION
Task: {A8265A23-BD68-4E38-9A99-F482ECEC06D6} - \HPCustParticipation HP Deskjet 1000 J110 series -> No File <==== ATTENTION
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Virus2000

Virus2000 0

Опубликовано
  • Автор
Опубликовано

Расширение

Charles Autoconfiguration

в Mozilla ставили самостоятельно?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
ProxyServer: [S-1-5-21-1590347190-3323006054-2564412868-1001] => http=127.0.0.1:8888;https=127.0.0.1:8888
AutoConfigURL: [S-1-5-21-1590347190-3323006054-2564412868-1001] => http=127.0.0.1:8888;https=127.0.0.1:8888
Task: {62459599-FC9A-4607-9727-8B20D09FDBEB} - \KMSAutoNet -> No File <==== ATTENTION
Task: {7B609A9D-EC0C-4A62-AB50-02E6CD8429FF} - \CCleanerSkipUAC -> No File <==== ATTENTION
Task: {7E91D76B-4597-437C-B622-C87CEC5815B3} - \Lenovo\Lenovo Customer Feedback Program 35 -> No File <==== ATTENTION
Task: {8861B46F-F02B-4868-BF6F-B664FA2B0428} - \Virus -> No File <==== ATTENTION
Task: {93AA3FDB-F43D-47C9-AB2E-DD6ECA6FC707} - \Adobe Flash Player PPAPI Notifier -> No File <==== ATTENTION
Task: {A8265A23-BD68-4E38-9A99-F482ECEC06D6} - \HPCustParticipation HP Deskjet 1000 J110 series -> No File <==== ATTENTION
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

чарли сам ставил

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Virus2000

Virus2000 0

Опубликовано
  • Автор
Опубликовано

Фикс нужно было только один раз выполнить :)

 

Что сейчас с проблемой?

с фиксом намудрил.... первый раз подумал что из буфера выполнится(и он выполнился) второй раз как описано...

проверка важных областей проблему не обнаружило

в течении суток отпишусь после полной проверки

и хотелось бы узнать что это было , принцип действия, и примерное местоположение заразы

спасибо за помощь

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Хорошо, в завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем
×
×
  • Создать...