Не могу удалить trojan.multi.gen autorun bits.a

[Sandor]

одному прав не хватает, а второму - файл msi какой-то битый

Удалите форсировано, через Revo Uninstall, например.

[imediaby]

• Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

 

 

отправил архив, остальное в процессе.

 

одному прав не хватает, а второму - файл msi какой-то битый

Удалите форсировано, через Revo Uninstall, например.

 

удалил, все ок с этим.

занимаюсь дальше.

а вот и логи

СЕРГЕЙ-ПК_2018-01-09_15-35-53.7z

AdwCleanerC0.txt

[regist]

 1)

C:\PROGRAM FILES\AVEST\MINIHTTP

HTTP минисервер 1.2 - эта программа вам знакома?

 

 

2)

C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\THREATDATABASE\TDGET.EXE 

вам знакомо?

 

3) Хвосты от Kaspersky Internet Security 2011 и Kaspersky Internet Security 2012 удалите с помощью https://support.kaspersky.ru/1464

4) Сделайте свежие логи Автологером.

[imediaby]

1. да, это нужное.

2. удалил.
3. программа там не видит ничего лишнего кроме того что стоит сейчас, а именно internet security for KDDI 2018, total security 2018 и Secure connection 2.0

4. логи прикрепил

CollectionLog-2018.01.09-17.21.zip

Изменено 9 января, 2018 пользователем imediaby

[regist]

1) Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

 

2) "Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YycuhjS1-koU-1IJSTyBZWHQXxwaHYMz3p8sC527pWB7IlqY9A-58QtfINp_64xlu1Os3d-qxg0qGXODkseLLu2e2P0_dK_Ke3KHjLlSY78lccsqQA7Zohxl6JAa7bQuhqFpszbNS4Zu-Z5Rd7ZJ
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YycuhjS1-koU-1IJSTyBZWHQXxwaHYMz3p8sC527pWB7IlqY9A-58QtfINp_64xlu1Os3d-qxg0qGXODkseLLu2e2P0_dK_Ke3KHjLlSY78lccsqQA7Zohxl6JAa7bQuhqFpszbNS4Zu-Z5Rd7ZJ4yqyfsq0HuJw,,&q={searchTerms}
O4 - MSConfig\startupreg: [Google Desktop Search] C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe /startup (file missing) (HKLM) (2013/01/24)
O4 - MSConfig\startupreg: [Skype] C:\Program Files\Skype\Phone\Skype.exe /minimized /regrun (file missing) (HKCU) (2013/04/29)
O8 - HKCU\..\Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm (file missing)
O9 - Extra button: &Виртуальная клавиатура - HKLM\..\{4248FE82-7FCB-46AC-B270-339F08212110} - (no file)
O9 - Extra button: (no name) - HKLM\..\{53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - HKLM\..\{925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Проверка ссы&лок - HKLM\..\{CCF151D8-D089-449F-A5A4-D9909053F20F} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{069196E0-2244-4365-8507-55061DC7A9C0}: NameServer = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{069196E0-2244-4365-8507-55061DC7A9C0}: NameServer = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{98023986-7567-4994-A239-34BAF451AAFC}: NameServer = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{98023986-7567-4994-A239-34BAF451AAFC}: NameServer = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFF1642-B190-49F5-93C4-6CFCCBC50AEA}: NameServer = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFF1642-B190-49F5-93C4-6CFCCBC50AEA}: NameServer = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - Task: (disabled) {1702C826-0C9A-41E6-9A4B-A9B0592EFA24} - C:\Program Files\Skype\Phone\Skype.exe (file missing)

 

 

 

3. программа там не видит ничего лишнего кроме того что стоит сейчас, а именно internet security for KDDI 2018, total security 2018 и Secure connection 2.0

У вас и в списке установленных должны быть

Kaspersky Internet Security 2011 [2018/01/03 10:17:03]-->MsiExec.exe /I{66F1F013-008F-4875-B283-5A814B820347}
Kaspersky Internet Security 2012 [2018/01/03 10:17:03]-->MsiExec.exe /I{45E557D6-2271-4F13-8101-C620B4285AB0} REMOVEALLDATA=No SAVESETTINGS=""

попробуйте через установку и удаление программ деинсталировать. Вдруг получится. Если нет, то в конце попробуем удалить полностью касперского и зачистить следы.

 

4) Сделайте свежие логи Автологера.

[imediaby]

1. готово, вот лог - https://24.imediasolutions.ru/~lo7Pb
2. готово
3. готово, удалил с помощью Revo Uninstall

4. во вложении

CollectionLog-2018.01.09-18.59.zip

[regist]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
  

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.0
  v400c
  BREG
  dirzooex %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\THREATDATABASE
  deldir %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\THREATDATABASE
  czoo
  restart

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
  

  Если архив отсутствует, то заархивруйте папку ZOOс паролем virus.

• Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
• Затем свежий лог uVS сделайте.
   
  + свежий лог AdwCleaner-а.

Изменено 10 января, 2018 пользователем regist

[imediaby]

скрипт в uVS запустил, он отработал и перегрузил компьютер. архив не создался, папка ZOO также пустая. Возможно потому что эту папку я удалил еще вчера руками. Тем не менее есть лог файл проверки, его прикрепил.
Сделал свежий лог uVS, прикрепил.
Лог AdwCleaner прикрепил также его.

AdwCleaner нашел кстати 4 элемента, чистить это?

2018-01-10_10-01-27_log.txt

СЕРГЕЙ-ПК_2018-01-10_10-16-00.7z

AdwCleanerS2.txt

Изменено 10 января, 2018 пользователем imediaby

[regist]

 

 

эту папку я удалил еще вчера руками.

напрасно, при этом хвосты в реестре вы же не почистили.

 

BelInfoNet Ltd. - это ваш провайдер?

 

 

 

программа там не видит ничего лишнего кроме того что стоит сейчас

Тогда советую временно удалить всё. Потом дочистить оставшие хвосты этой утилитой. Желательно после этого показать свежий лог uVS, чтобы убедиться, что хвостов не осталось. А затем поставить заново.

[imediaby]

 

 

BelInfoNet Ltd. - это ваш провайдер?

да.

Тогда советую временно удалить всё. Потом дочистить оставшие хвосты этой утилитой. Желательно после этого показать свежий лог uVS, чтобы убедиться, что хвостов не осталось. А затем поставить заново.

не совсем понял чем удалить хвосты?

[regist]

 

 

с помощью https://support.kaspersky.ru/1464

[imediaby]

все удалил, хвостов нет.

свежий лог uVS во вложении.

СЕРГЕЙ-ПК_2018-01-10_13-31-39.7z

[regist]

 

 

хвостов нет.

Да, теперь порядок. Установите актуальную версию антивируса и остальные программы если нужны.

 

Что с проблемой?

[imediaby]

визуально все в порядке. попапов нет в браузерах, ничего не беспокоит )
По логам все ок? Все почистили?

[regist]

По логам все ок? Все почистили?

да.

В AdwCleaner только остатки дочистите

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

после чего

 

• Пожалуйста, запустите adwcleaner.exe
  
• Нажмите File (Файл) Uninstall (Деинсталлировать).
  
• Подтвердите удаление нажав кнопку: Да.

 

+

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

Изменено 10 января, 2018 пользователем regist