Антивирус не удаляет вирус

12 декабря, 2017

trojan.multi.genautoruntask.b
Собственно такая проблема, обнаружил, удалил, снова есть в компьютере.
Прочитал у вас информацию что нужно индивидуально справляться с данным гадом.
Просьба помочь Вас!

Проследовал инструкции!

CollectionLog-2017.12.13-01.46.zip

13 декабря, 2017

Здравствуйте!

Программы/расширения от Mail.ru используете?

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

WeatherForecaster - деинсталируйте.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\Валерий\AppData\Roaming\WeatherForecaster\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 ExecuteFile('schtasks.exe', '/delete /TN "WeatherForecaster" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WeatherForecaster2" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Валерий\AppData\Roaming\WeatherForecaster\', '*', true);
 DeleteDirectory('C:\Users\Валерий\AppData\Roaming\WeatherForecaster\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WeatherForecaster');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
Прикрепите отчет к своему следующему сообщению.

PS. Выполнять в том порядке, в котором написано.

Изменено 13 декабря, 2017 пользователем regist

13 декабря, 2017

Программы и расширения Mail.ru устанавливались совместно возможно с другими программами/играми.

Ссылка "данной формы"

[KLAN-7330072866]

Файлы с логами прикрепил. 1 и 2. как сказано.

Отчёт Adw прилагается.

CollectionLog-2017.12.13-11.16.zip

CollectionLog-2017.12.13-11.18.zip

AdwCleanerS0.txt

Изменено 13 декабря, 2017 пользователем iValeriks

13 декабря, 2017

1) One System Care - деинсталируйте.

2)

Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Tools ->Options (Инструменты ->Настройки) отметьте:
- Сброс политик IE
- Сброс политик Chrome
[*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

3) "Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [McAfeeSafeConnect] C:\Program Files (x86)\McAfee Safe Connect\McAfee Safe Connect.exe (file missing)
O22 - Task: (disabled) OneDrive Standalone Update Task - C:\Users\Администратор\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)

13 декабря, 2017

1) - Сделано

2) - Сделано, файл прикреплен.

3) 2/3 нашёл и "пофиксил" 3ий GameNet ненашёл.

AdwCleanerC0.txt

Изменено 13 декабря, 2017 пользователем iValeriks

13 декабря, 2017

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

13 декабря, 2017

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Готово!

Addition.txt

Shortcut.txt

FRST.txt

13 декабря, 2017

1)

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.7 - Google Inc.) Hidden
ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
HKU\S-1-5-21-2999496450-31894669-1208297068-1007\...\Run: [AdobeBridge] => [X]
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811600
FF Extension: (Поиск@Mail.Ru) - C:\Users\Валерий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-12-05] [Legacy]
FF Extension: (Пульт) - C:\Users\Валерий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-12-05]
FF Plugin HKU\S-1-5-21-2999496450-31894669-1208297068-1007: @mail.ru/GameCenter -> C:\Users\Валерий\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR HKU\S-1-5-21-2999496450-31894669-1208297068-1007\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2999496450-31894669-1208297068-1007\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pcodcgbpjdphncjkengnfigoiemaiapc] - hxxps://clients2.google.com/service/update2/crx
S3 SIVDriver; \??\C:\Users\Валерий\AppData\Roaming\SIVApp\SIVApp\SIVX64.sys [X]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

2) Деинсталийте

bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.7 - Google Inc.) Hidden
ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden

3) Пожалуйста, сделайте экспорт ключа

HKCU\Software\Microsoft\Internet Explorer\SearchScopes

и прикрепите к сообщению.

13 декабря, 2017

1)

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.7 - Google Inc.) Hidden
ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
HKU\S-1-5-21-2999496450-31894669-1208297068-1007\...\Run: [AdobeBridge] => [X]
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811600
FF Extension: (Поиск@Mail.Ru) - C:\Users\Валерий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-12-05] [Legacy]
FF Extension: (Пульт) - C:\Users\Валерий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-12-05]
FF Plugin HKU\S-1-5-21-2999496450-31894669-1208297068-1007: @mail.ru/GameCenter -> C:\Users\Валерий\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR HKU\S-1-5-21-2999496450-31894669-1208297068-1007\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2999496450-31894669-1208297068-1007\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pcodcgbpjdphncjkengnfigoiemaiapc] - hxxps://clients2.google.com/service/update2/crx
S3 SIVDriver; \??\C:\Users\Валерий\AppData\Roaming\SIVApp\SIVApp\SIVX64.sys [X]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

2) Деинсталийте

bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.7 - Google Inc.) Hidden
ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden

3) Пожалуйста, сделайте экспорт ключа

HKCU\Software\Microsoft\Internet Explorer\SearchScopes

и прикрепите к сообщению.

Начиная со 2 пункта можно подробнее куда что. Не понимаю..

Fixlog.txt

13 декабря, 2017

2) надо зайти в панель управления - установленные программы. И деинсталировать указанные:

bl, ph и если не нужен то и Google Update Helper.

3) Раз не знаете, как то делать, то сделаем по другому.

Выполните в AVZ скрипт:

begin
 ExpRegKey('HKCU','Software\Microsoft\Internet Explorer\SearchScopes','SearchScopes.txt');
end.

Файлы:

SearchScopes.txt из папки AVZ прикрепите.

13 декабря, 2017

2) надо зайти в панель управления - установленные программы. И деинсталировать указанные:

bl, ph и если не нужен то и Google Update Helper.

3) Раз не знаете, как то делать, то сделаем по другому.

Выполните в AVZ скрипт:
begin
 ExpRegKey('HKCU','Software\Microsoft\Internet Explorer\SearchScopes','SearchScopes.txt');
end.
Файлы:

SearchScopes.txt из папки AVZ прикрепите.

Готово что вы сказали, проделано.

Так же прошу посмотреть, из-за чего каждый переход на сайт выдаёт антивирус оповещение к чему это?

SearchScopes.txt

Изменено 13 декабря, 2017 пользователем iValeriks

13 декабря, 2017

Так же прошу посмотреть, из-за чего каждый переход на сайт выдаёт антивирус оповещение к чему это?

Это на этом же компе или на другом? При переходе на любом сайте?

В другом браузере проверяли?

13 декабря, 2017

Так же прошу посмотреть, из-за чего каждый переход на сайт выдаёт антивирус оповещение к чему это?
Это на этом же компе или на другом? При переходе на любом сайте?
В другом браузере проверяли?

На этом же компе, фактически на любой сайт. В другом браузере не проверял.

13 декабря, 2017

Не надо каждый раз цитировать весь пост. Внизу есть поле для быстрого ответа.

В другом браузере не проверял.

Проверьте и отпишитесь

.

А лучше скачайте отсюда Оперу и проверьте проблему в ней.

И что с проблемой из первого поста? Решена?

13 декабря, 2017

Проблема с 1 поста вроде не проявлялась больше.
Спасибо за помощь. Запущу проверку полную попозже, отпишу конечный результат!

По поводу Оперы сразу сообразил, всё выходит в порядке, посещение всех сайтов в норме!

Антивирус не удаляет вирус

Рекомендуемые сообщения

iValeriks

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

iValeriks

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

iValeriks

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

iValeriks

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

iValeriks

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

iValeriks

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

iValeriks

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

iValeriks

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum