Trojan.Multi.GenAutorunTask.a не лечится

[Jintonik]

Заразил компьютер программой для сброса памперса на принтере AdjProg.exe скачанной с сайта www.spsystems.lv.Скачана была давным давно и вроде как в прошлый раз проблем не принесла.При активации exe-файла было предложено обновить версию программы для моего принтера,при согласии открылась страница в Mozila Firefox с предложением "скачать".Был загружен файл весом примерно 35мб,При его активации и не внимательном привычном нажатии "далее-далее" на машине началась вакханалия.Было установлено большое количество мусорных программ вредоносного типа и в придачу трояны.Большинство были удалены с помощью uninstall tool,пара-тройка noname прог не обнаруживались в списках установленного,но продолжали работать в трее.

 

В виду отсутствия антивируса на машине был скачан на подмогу Kaspersky Virus Removal Tool.Он обнаружил порядка 12 проблем и ликвидировал все, кроме одной - "Trojan.Multi.GenAutorunTask.a" .

Его он пытался вылечить раза 3 с перезагрузкой,но безуспешно.Прошу помощи в вопросе ликвидации данного субъекта с моего компьютера.

 

логи

CollectionLog-2017.08.25-14.53.zip

Изменено 25 августа, 2017 пользователем Jintonik

[regist]

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

Подробнее читайте в руководстве Как подготовить лог UVS.
 

[Jintonik]

Universal Virus Sniffer (uVS) лог

https://virusinfo.info/virusdetector/report.php?md5=DC830FA9EFD2B6DB8EE9D6A08461066E

SUPER_FOTO-ПК_2017-08-26_14-33-21.7z

[regist]

FreeCodecPack - сами ставили? Удалите его.

[Jintonik]

нет,и стандартные средства удаления Windows не видят FreeCodecPack.В процессах тоже не видно.Как его удалить?

К слову перед  созданием логов предыдущего сообщения был запущен редактор реестра RegistryLife,он нашел и исправил пару десятков ошибок.После этого снова врубил Kaspersky Virus Removal Tool и угроз не обнаружено.

Стоит ли ковыряться дальше или "Trojan.Multi.GenAutorunTask.a" изгнан?

[regist]

 

 

нет,и стандартные средства удаления Windows не видят FreeCodecPack.В процессах тоже не видно.Как его удалить?

Возможно установился с установкой этой программы

F:\РАБОТА\ПРОГРАММЫ\FREEVIDEOTODVDCONVERTER ВЕЩЬ!!!.EXE

Этот файл тоже советую удалить.

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   deltmp
   dirzooex %SystemDrive%\PROGRAM FILES (X86)\FREECODECPACK\HAALI
   zoo %SystemDrive%\USERS\SUPER_FOTO\APPDATA\LOCAL\TEMP\SPA80B.TMP\SYMINSTALLSTUB.EXE
   delall %SystemDrive%\USERS\SUPER_FOTO\APPDATA\LOCAL\TEMP\SPA80B.TMP\SYMINSTALLSTUB.EXE
   delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
   delref %SystemDrive%\USERS\SUPER_FOTO\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-CTRL.EXE
   deldir %SystemDrive%\PROGRAM FILES (X86)\FREECODECPACK\HAALI
   czoo
   restart
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}
   delref K:\CROSSLINKPLUS.EXE
   delref J:\CROSSLINKPLUS.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\COMMON\ELEMENTS64.EXE
   delref %SystemDrive%\PROGRAMDATA\REALNETWORKS\REALDOWNLOADER\BROWSERPLUGINS\FIREFOX\EXT
   delref %SystemDrive%\PROGRAM FILES (X86)\EYE-FI\EYEFIRECEIVER.EXE
   delref %Sys32%\SPOOL\DRIVERS\X64\3\E_YATIKKE.EXE
   delref %Sys32%\DRIVERS\FA2F7067.SYS
   delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\SKYDRIVE\17.0.4024.1220\FILESYNCAPI.DLL
   delref G:\02 ПРОГИ ДЛЯ ПЛОТЕРА\USB DRIVER\FTDIUNIN.EXE
   delref J:\LAUNCHU3.EXE
   delref J:\INSTALL MEGAFON INTERNET.EXE
   delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\DNG CODEC\UNINS000.EXE
   delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\PSD CODEC\UNINS000.EXE
   delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\NEF CODEC\UNINS000.EXE
   delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\CR2 CODEC\UNINS000.EXE
   delref %SystemDrive%\USERS\SUPER_FOTO\DESKTOP\PX650_PRTDRV_X64_6.62_HOME_EXPORT.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
   delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\NEF CODEC\NEFCODECPREFERENCES.EXE
   delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\CR2 CODEC\CR2CODECPREFERENCES.EXE
   delref %SystemDrive%\PROGRAM FILES\ARDFRYIMAGING\DNG CODEC\DNGCODECPREFERENCES.EXE
   delref D:\ПРОГРАММЫ\LIST(POINTER)\НОВЫЙ ПЛАГИН ДЛЯ COREL DRAW\COLSETUP.EXE
   delref J:\STARTME.EXE
   delref E:\SETUP.EXE
   apply

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.