не могу удалить trojan.multi.gen autorun bits,.

[Антон Медведев]

не могу удалить данный вирус

CollectionLog-2017.12.02-23.09.zip

[thyrex]

Расширение Блокировщик Рекламы Для Ютуба™ удалите в Хроме.

 

WeeklyWeather

YoutubeAdBlock

удалите через Установку программ.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\медведь\AppData\Roaming\WeeklyWeather\app.py','');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 QuarantineFile('C:\Program Files (x86)\gVEKLTxUjIE\kh6VAO5M.dll','');
 QuarantineFile('C:\Users\медведь\AppData\Roaming\DjvuApp\DjvuApp.exe','');
 QuarantineFile('C:\Users\медведь\AppData\Roaming\WeeklyWeather\ml.py','');
 DeleteFile('C:\Users\медведь\AppData\Roaming\WeeklyWeather\ml.py','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WeeklyWeather');
 DeleteFile('C:\Users\медведь\AppData\Roaming\DjvuApp\DjvuApp.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DjvuApp','command');
 DeleteFile('C:\Program Files (x86)\gVEKLTxUjIE\kh6VAO5M.dll','32');
 DeleteFile('C:\Windows\Tasks\boQbXxbEJPaDgWztw.job','32');
 DeleteFile('C:\Windows\Tasks\jVVcebPoCjhHKmi.job','32');
 DeleteFile('C:\Program Files (x86)\OGqwJxyzdjgEZIvrFER\STmbGJJ.dll','32');
 DeleteFile('C:\Program Files (x86)\ExRIRmygU\NtiCCp.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\WeeklyWeather','64');
 DeleteFile('C:\Windows\system32\Tasks\WeeklyWeather2','64');
 DeleteFile('C:\Users\медведь\AppData\Roaming\WeeklyWeather\app.py','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Антон Медведев]

вирус [KLAN-7257212301]

CollectionLog-2017.12.02-23.56.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Антон Медведев]

сделано

Programs.rar

[thyrex]

Я просил удалить два расширения из Хрома. Почему не сделали?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-12-01 16:24 - 2017-12-01 16:24 - 000000000 ____D C:\Users\Все пользователи\Microleaves
2017-12-01 16:24 - 2017-12-01 16:24 - 000000000 ____D C:\ProgramData\Microleaves
2017-12-01 16:23 - 2017-12-02 22:42 - 000000000 ____D C:\Users\Все пользователи\6da742aa-7017-0
2017-12-01 16:23 - 2017-12-02 22:42 - 000000000 ____D C:\Users\Все пользователи\6da742aa-47f5-1
2017-12-01 16:23 - 2017-12-02 22:42 - 000000000 ____D C:\ProgramData\6da742aa-7017-0
2017-12-01 16:23 - 2017-12-02 22:42 - 000000000 ____D C:\ProgramData\6da742aa-47f5-1
2017-12-01 16:23 - 2017-12-01 16:23 - 000000000 ____D C:\Users\медведь\AppData\LocalLow\ZUAwrnxgIZhKc
2017-12-01 16:22 - 2017-12-01 16:22 - 000000000 ____D C:\Program Files (x86)\Microleaves
2017-12-01 16:21 - 2017-12-01 16:21 - 000000000 ____D C:\Users\медведь\AppData\Roaming\Microleaves
HKLM\...\Run: [SERVICE] => [X]
GroupPolicy: Restriction - Chrome <==== ATTENTION
Task: {B4DE9E02-604A-42FD-82BC-081878B9F169} - \ShadowsocksS -> No File <==== ATTENTION
Task: {62135B46-7A68-4BA9-973D-4C010E69240E} - \jVVcebPoCjhHKmi2 -> No File <==== ATTENTION
Task: {0C07E4E0-E6E6-4EBE-B528-7C6FB3307B47} - \boQbXxbEJPaDgWztw2 -> No File <==== ATTENTION
C:\Users\медведь\AppData\Roaming\WeeklyWeather
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Антон Медведев]

да я так то вроде удалял

Fixlog.txt

[thyrex]

да я так то вроде удалял

Если бы так было, они бы не были указаны в списке расширений Хрома.

 

Сделайте лог полного сканирования МВАМ

[Антон Медведев]

оно? просто у меня русская версия

логи.txt

[thyrex]

Удалите в МВАМ все, кроме

HackTool.FilePatch, C:\PROGRAM FILES\DAEMON TOOLS ULTRA\DAEMON.TOOLS.ULTRA.V.4.1.0.0492.X64-PATCH.EXE, Проигнорировано пользователем, [7021], [281135],1.0.3400

[Антон Медведев]

сделано

[thyrex]

Удалите МВАМ.

 

Проблема решена?

[Антон Медведев]

спасибо бро!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Антон Медведев]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 04.12.2017 02:17:29

Path starting: C:\Users\медведь\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: медведь

VersionXML: 4.76is-18.11.2017

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)

Дата установки ОС: 01.02.2017 11:48:22

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [298.1 Гб] Занято: [138.7 Гб] Свободно: [159.4 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18837

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Уведомлять о загрузке и установке обновлений

Дата установки обновлений: 2017-11-28 08:51:06

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

---------------------------- [ Antivirus_WMI ] ----------------------------

Malwarebytes (выключен и обновлен)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Malwarebytes (выключен и обновлен)

Windows Defender (включен и обновлен)

-------------------------- [ SecurityUtilities ] --------------------------

Malwarebytes, версия 3.3.1.2183 v.3.3.1.2183

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.35 v.7.35.102 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.2.2.1 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player ActiveX v.9.0.124.0 Внимание! Скачать обновления

Adobe Flash Player 23 NPAPI v.23.0.0.162 Внимание! Скачать обновления

Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.62.0.3202.94

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.62.0.3202.94

------------------ [ AntivirusFirewallProcessServices ] -------------------

Malwarebytes Service (MBAMService) - Служба остановлена

Защитник Windows (WinDefend) - Служба работает

----------------------------- [ End of Log ] ------------------------------