Trojan.Multi.GenAutorunTask.b удалить невозможно

[squard72]

Добрый день, взял офис в обслуживание, вот уже второй день не могу решить проблему с Trojan.Multi.GenAutorunTask.b, Касперский вроде как находит, но после ребута через некоторое время эта дрань опять вылазит. 

 

Проблема в том что работа в офисе ограничена временем, на все про все час, поэтому решил сначала проконсультироваться. 

 

Прошу сразу не пинать на логи, а проконсультировать, информация о системе пока только такая(простите что не подготовился):

 

Система Windows 10 x64

 

Ввиду всего вышенаписанного есть вопросы:

К Trojan.Multi.GenAutorunTask.b подход индивидуальный, или можно воспользоваться уже отработанной схемой удаления, например https://forum.kasperskyclub.ru/index.php?showtopic=52250? Какие можете посоветовать действия для эффективного уничтожения?

 

Проблема в том, как я уже говорил, у меня будет мало времени на месте, то есть я приеду за час до закрытия и беспокоюсь что не получу в этих сжатых сроках от вас помощи, пока собираю логи, сканирую и т. п.

 

 

Если все же придется отрабатывать проблему индивидуально, выкладывать логи и ждать ответа, так и быть, но очень прошу отвечать оперативно. Спасибо большое за помошь заранее, ребят.

[Sandor]

Здравствуйте!

 

К Trojan.Multi.GenAutorunTask.b подход индивидуальный..?

Да.

[squard72]

Здравствуйте!

 

К Trojan.Multi.GenAutorunTask.b подход индивидуальный..?

Да.

 

Благодарю, тогда будем работать. Прошу прислать инструкцию. Спасибо.

[Sandor]

Порядок оформления запроса о помощи

[squard72]

Выхлох утилиты AVZ

CollectionLog-2017.10.31-14.52.zip

Изменено 31 октября, 2017 пользователем squard72

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Video and Audio Plugin UBar

YoutubeAdBlock

Если программа

1.0.0.1 [20171023]-->C:\Program Files (x86)\YeaDesktop\BearUnInstall.exe

неизвестна, тоже удалите.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\kqEuPYMaU\Pmviry.dll', '');
 DeleteFile('C:\Program Files (x86)\kqEuPYMaU\Pmviry.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "PjDfytumxbayONn.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PjDfytumxbayONn2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "zjwPaeaadZaNwF" /F', 0, 15000, true);
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\ucdrv', 'Start', 2);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Ярлыки

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk

C:\Users\Public\Desktop\Google Chrome.lnk

C:\Users\Александра\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[squard72]

После перезапуска вирусня опять запустилась. Сейчас выполняю следующие инструкции, по окончанию выложу результат

Выкладываю результат:

KLAN-7070376685

 

CollectionLog-2017.10.31-15.58.zip

ClearLNK-31.10.2017_15-21.log

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[squard72]

Прикладываю результат

AdwCleanerS0.txt

AdwCleanerS1.txt

[Sandor]

AdwCleaner[C0].txt - тоже покажите.

 

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[squard72]

Выполнил предыдущие инструкции, выкладываю результат

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

AdwCleaner[C0].txt - тоже покажите.

и

отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

не показали.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  C:\Users\Александра\AppData\Local\Google\Chrome\User Data\Default\Extensions\knmnopfmccchnnfdoiddbihbcboeedll
  2017-10-23 13:58 - 2017-10-23 13:58 - 000000000 ____D C:\Users\Все пользователи\Thunder Network
  2017-10-23 13:58 - 2017-10-23 13:58 - 000000000 ____D C:\Users\Public\Thunder Network
  2017-10-23 13:58 - 2017-10-23 13:58 - 000000000 ____D C:\ProgramData\Thunder Network
  2017-10-23 13:57 - 2017-10-23 13:57 - 000000000 ____D C:\Users\Александра\AppData\LocalLow\CelGrfgXIrZdI
  2017-10-23 13:57 - 2017-10-23 13:57 - 000000000 ____D C:\Users\Александра\AppData\Local\UCBrowser
  FirewallRules: [TCP Query User{7F86D76A-310C-4E1E-AE9E-467403C124DC}C:\users\александра\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\александра\appdata\local\mediaget2\mediaget.exe
  FirewallRules: [UDP Query User{2EDFC13D-E107-4A6D-8FBD-1F93D3F26B9D}C:\users\александра\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\александра\appdata\local\mediaget2\mediaget.exe
  FirewallRules: [{6308A629-EE0E-4EF6-B880-242D7BAF895B}] => (Allow) C:\Users\Александра\AppData\Local\MediaGet2\mediaget.exe
  FirewallRules: [{8D797602-236A-4AD0-B028-75F70F63CDB8}] => (Allow) C:\Users\Александра\AppData\Local\MediaGet2\mediaget.exe
  FirewallRules: [{872A51B1-ECCA-42D9-8FEE-EFE9EC9ECE49}] => (Allow) C:\Program Files\UBar\ubar.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Следы прежних антивирусов (аваст, 360) очистите по соотв. инструкции - Чистка системы после некорректного удаления антивируса.

[squard72]

Сейчас выполню следующую инструкцию

докладываю

Выполнил инструкции, выкладываю результат

AdwCleanerC1.txt

AdwCleanerC0.txt

Fixlog.txt

[Sandor]

Что с проблемой?

[squard72]

Процесс исчез, проблема исчерпана. Что бы я без вас делал. Спасибо большое.