Антивирус не удаляет вирус

[iValeriks]

trojan.multi.genautoruntask.b
Собственно такая проблема, обнаружил, удалил, снова есть в компьютере.
Прочитал у вас информацию что нужно индивидуально справляться с данным гадом.
Просьба помочь Вас!

Проследовал инструкции!

CollectionLog-2017.12.13-01.46.zip

[regist]

Здравствуйте!

 

Программы/расширения от Mail.ru используете?

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

WeatherForecaster - деинсталируйте.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\Валерий\AppData\Roaming\WeatherForecaster\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 ExecuteFile('schtasks.exe', '/delete /TN "WeatherForecaster" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WeatherForecaster2" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Валерий\AppData\Roaming\WeatherForecaster\', '*', true);
 DeleteDirectory('C:\Users\Валерий\AppData\Roaming\WeatherForecaster\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WeatherForecaster');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

PS. Выполнять в том порядке, в котором написано.

Изменено 13 декабря, 2017 пользователем regist

[iValeriks]

Программы и расширения Mail.ru устанавливались совместно возможно с другими программами/играми.

Ссылка "данной формы"

[KLAN-7330072866]

Файлы с логами прикрепил. 1 и 2. как сказано.

Отчёт Adw прилагается.

CollectionLog-2017.12.13-11.16.zip

CollectionLog-2017.12.13-11.18.zip

AdwCleanerS0.txt

Изменено 13 декабря, 2017 пользователем iValeriks

[regist]

1) One System Care - деинсталируйте.

 

2)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

3) "Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [McAfeeSafeConnect] C:\Program Files (x86)\McAfee Safe Connect\McAfee Safe Connect.exe (file missing)
O22 - Task: (disabled) OneDrive Standalone Update Task - C:\Users\Администратор\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)

[iValeriks]

1) - Сделано

2) - Сделано, файл прикреплен.

3) 2/3 нашёл и "пофиксил" 3ий GameNet ненашёл.

AdwCleanerC0.txt

Изменено 13 декабря, 2017 пользователем iValeriks

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[iValeriks]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Готово!

Addition.txt

Shortcut.txt

FRST.txt

[regist]

1)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
  Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.7 - Google Inc.) Hidden
  ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
  HKU\S-1-5-21-2999496450-31894669-1208297068-1007\...\Run: [AdobeBridge] => [X]
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811600
  FF Extension: (Поиск@Mail.Ru) - C:\Users\Валерий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-12-05] [Legacy]
  FF Extension: (Пульт) - C:\Users\Валерий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-12-05]
  FF Plugin HKU\S-1-5-21-2999496450-31894669-1208297068-1007: @mail.ru/GameCenter -> C:\Users\Валерий\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
  CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
  CHR HKU\S-1-5-21-2999496450-31894669-1208297068-1007\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-2999496450-31894669-1208297068-1007\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [pcodcgbpjdphncjkengnfigoiemaiapc] - hxxps://clients2.google.com/service/update2/crx
  S3 SIVDriver; \??\C:\Users\Валерий\AppData\Roaming\SIVApp\SIVApp\SIVX64.sys [X]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

2) Деинсталийте

bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.7 - Google Inc.) Hidden
ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden

3) Пожалуйста, сделайте экспорт ключа

HKCU\Software\Microsoft\Internet Explorer\SearchScopes

и прикрепите к сообщению.

 

[iValeriks]

1)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
  Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.7 - Google Inc.) Hidden
  ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
  HKU\S-1-5-21-2999496450-31894669-1208297068-1007\...\Run: [AdobeBridge] => [X]
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811600
  FF Extension: (Поиск@Mail.Ru) - C:\Users\Валерий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-12-05] [Legacy]
  FF Extension: (Пульт) - C:\Users\Валерий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-12-05]
  FF Plugin HKU\S-1-5-21-2999496450-31894669-1208297068-1007: @mail.ru/GameCenter -> C:\Users\Валерий\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
  CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
  CHR HKU\S-1-5-21-2999496450-31894669-1208297068-1007\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-2999496450-31894669-1208297068-1007\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [pcodcgbpjdphncjkengnfigoiemaiapc] - hxxps://clients2.google.com/service/update2/crx
  S3 SIVDriver; \??\C:\Users\Валерий\AppData\Roaming\SIVApp\SIVApp\SIVX64.sys [X]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

2) Деинсталийте

bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.7 - Google Inc.) Hidden
ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden

3) Пожалуйста, сделайте экспорт ключа

HKCU\Software\Microsoft\Internet Explorer\SearchScopes

и прикрепите к сообщению.

Начиная со 2 пункта можно подробнее куда что. Не понимаю..

Fixlog.txt

[regist]

2)  надо зайти в панель управления - установленные программы. И деинсталировать указанные:

bl, ph и если не нужен то и Google Update Helper.

 

3) Раз не знаете, как то делать, то сделаем по другому.

 

Выполните в AVZ скрипт:

begin
 ExpRegKey('HKCU','Software\Microsoft\Internet Explorer\SearchScopes','SearchScopes.txt');
end.

Файлы:

SearchScopes.txt из папки AVZ прикрепите.

[iValeriks]

 

2)  надо зайти в панель управления - установленные программы. И деинсталировать указанные:

bl, ph и если не нужен то и Google Update Helper.

 

3) Раз не знаете, как то делать, то сделаем по другому.

 

Выполните в AVZ скрипт:

begin
 ExpRegKey('HKCU','Software\Microsoft\Internet Explorer\SearchScopes','SearchScopes.txt');
end.

Файлы:

 

SearchScopes.txt из папки AVZ прикрепите.

 

Готово что вы сказали, проделано.

 

Так же прошу посмотреть, из-за чего каждый переход на сайт выдаёт антивирус оповещение к чему это?

SearchScopes.txt

Изменено 13 декабря, 2017 пользователем iValeriks

[regist]

 

 

Так же прошу посмотреть, из-за чего каждый переход на сайт выдаёт антивирус оповещение к чему это?

Это на этом же компе или на другом? При переходе на любом сайте?

В другом браузере проверяли?

[iValeriks]

 

Так же прошу посмотреть, из-за чего каждый переход на сайт выдаёт антивирус оповещение к чему это?

Это на этом же компе или на другом? При переходе на любом сайте?

В другом браузере проверяли?

 

На этом же компе, фактически на любой сайт. В другом браузере не проверял.

[regist]

Не надо каждый раз цитировать весь пост. Внизу есть поле для быстрого ответа.

 

 

В другом браузере не проверял.

Проверьте и отпишитесь .

А лучше скачайте отсюда Оперу и проверьте проблему в ней.
 

И что с проблемой из первого поста? Решена?

[iValeriks]

Проблема с 1 поста вроде не проявлялась больше.
Спасибо за помощь. Запущу проверку полную попозже, отпишу конечный результат!

По поводу Оперы сразу сообразил, всё выходит в порядке, посещение всех сайтов в норме!