Перейти к содержанию

Не могу удалить trojan.multi.gen autorun bits.a


imediaby

Рекомендуемые сообщения

  • Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

 

 

отправил архив, остальное в процессе.

 

одному прав не хватает, а второму - файл msi какой-то битый

Удалите форсировано, через Revo Uninstall, например.

 

удалил, все ок с этим.

занимаюсь дальше.

а вот и логи

СЕРГЕЙ-ПК_2018-01-09_15-35-53.7z

AdwCleanerC0.txt

Ссылка на комментарий
Поделиться на другие сайты

 1)

C:\PROGRAM FILES\AVEST\MINIHTTP

HTTP минисервер 1.2 - эта программа вам знакома?

 

 

2)

C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\THREATDATABASE\TDGET.EXE 

вам знакомо?

 

3) Хвосты от Kaspersky Internet Security 2011 и Kaspersky Internet Security 2012 удалите с помощью https://support.kaspersky.ru/1464


4) Сделайте свежие логи Автологером.

Ссылка на комментарий
Поделиться на другие сайты

1. да, это нужное.

2. удалил.
3. программа там не видит ничего лишнего кроме того что стоит сейчас, а именно internet security for KDDI 2018, total security 2018 и Secure connection 2.0

4. логи прикрепил

CollectionLog-2018.01.09-17.21.zip

Изменено пользователем imediaby
Ссылка на комментарий
Поделиться на другие сайты

1) Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

 

2) "Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YycuhjS1-koU-1IJSTyBZWHQXxwaHYMz3p8sC527pWB7IlqY9A-58QtfINp_64xlu1Os3d-qxg0qGXODkseLLu2e2P0_dK_Ke3KHjLlSY78lccsqQA7Zohxl6JAa7bQuhqFpszbNS4Zu-Z5Rd7ZJ
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYlxkByIJEBc5YycuhjS1-koU-1IJSTyBZWHQXxwaHYMz3p8sC527pWB7IlqY9A-58QtfINp_64xlu1Os3d-qxg0qGXODkseLLu2e2P0_dK_Ke3KHjLlSY78lccsqQA7Zohxl6JAa7bQuhqFpszbNS4Zu-Z5Rd7ZJ4yqyfsq0HuJw,,&q={searchTerms}
O4 - MSConfig\startupreg: [Google Desktop Search] C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe /startup (file missing) (HKLM) (2013/01/24)
O4 - MSConfig\startupreg: [Skype] C:\Program Files\Skype\Phone\Skype.exe /minimized /regrun (file missing) (HKCU) (2013/04/29)
O8 - HKCU\..\Extra context menu item: Добавить в Анти-Баннер - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm (file missing)
O9 - Extra button: &Виртуальная клавиатура - HKLM\..\{4248FE82-7FCB-46AC-B270-339F08212110} - (no file)
O9 - Extra button: (no name) - HKLM\..\{53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - HKLM\..\{925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Проверка ссы&лок - HKLM\..\{CCF151D8-D089-449F-A5A4-D9909053F20F} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{069196E0-2244-4365-8507-55061DC7A9C0}: NameServer = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{069196E0-2244-4365-8507-55061DC7A9C0}: NameServer = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{98023986-7567-4994-A239-34BAF451AAFC}: NameServer = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{98023986-7567-4994-A239-34BAF451AAFC}: NameServer = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFF1642-B190-49F5-93C4-6CFCCBC50AEA}: NameServer = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEFF1642-B190-49F5-93C4-6CFCCBC50AEA}: NameServer = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - Task: (disabled) {1702C826-0C9A-41E6-9A4B-A9B0592EFA24} - C:\Program Files\Skype\Phone\Skype.exe (file missing)

 

 

 


3. программа там не видит ничего лишнего кроме того что стоит сейчас, а именно internet security for KDDI 2018, total security 2018 и Secure connection 2.0
У вас и в списке установленных должны быть
Kaspersky Internet Security 2011 [2018/01/03 10:17:03]-->MsiExec.exe /I{66F1F013-008F-4875-B283-5A814B820347}
Kaspersky Internet Security 2012 [2018/01/03 10:17:03]-->MsiExec.exe /I{45E557D6-2271-4F13-8101-C620B4285AB0} REMOVEALLDATA=No SAVESETTINGS=""

попробуйте через установку и удаление программ деинсталировать. Вдруг получится. Если нет, то в конце попробуем удалить полностью касперского и зачистить следы.

 

4) Сделайте свежие логи Автологера.

Ссылка на комментарий
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    v400c
    BREG
    dirzooex %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\THREATDATABASE
    deldir %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\THREATDATABASE
    czoo
    restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOOс паролем virus.

  • Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Затем свежий лог uVS сделайте.
     
    + свежий лог AdwCleaner-а.
Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

скрипт в uVS запустил, он отработал и перегрузил компьютер. архив не создался, папка ZOO также пустая. Возможно потому что эту папку я удалил еще вчера руками. Тем не менее есть лог файл проверки, его прикрепил.
Сделал свежий лог uVS, прикрепил.
Лог AdwCleaner прикрепил также его.

AdwCleaner нашел кстати 4 элемента, чистить это?

2018-01-10_10-01-27_log.txt

СЕРГЕЙ-ПК_2018-01-10_10-16-00.7z

AdwCleanerS2.txt

Изменено пользователем imediaby
Ссылка на комментарий
Поделиться на другие сайты

 

 


эту папку я удалил еще вчера руками.
напрасно, при этом хвосты в реестре вы же не почистили.

 

BelInfoNet Ltd. - это ваш провайдер?

 

 

 


программа там не видит ничего лишнего кроме того что стоит сейчас
Тогда советую временно удалить всё. Потом дочистить оставшие хвосты этой утилитой. Желательно после этого показать свежий лог uVS, чтобы убедиться, что хвостов не осталось. А затем поставить заново.
Ссылка на комментарий
Поделиться на другие сайты

 

 


BelInfoNet Ltd. - это ваш провайдер?


да.


Тогда советую временно удалить всё. Потом дочистить оставшие хвосты этой утилитой. Желательно после этого показать свежий лог uVS, чтобы убедиться, что хвостов не осталось. А затем поставить заново.



не совсем понял чем удалить хвосты?
Ссылка на комментарий
Поделиться на другие сайты

 

 


хвостов нет.
Да, теперь порядок. Установите актуальную версию антивируса и остальные программы если нужны.

 

Что с проблемой?

Ссылка на комментарий
Поделиться на другие сайты

По логам все ок? Все почистили?

да.

В AdwCleaner только остатки дочистите

 

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

после чего

 

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

 

+

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

Изменено пользователем regist
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • NaaR
      От NaaR
      Добрый день!
      Не получается самостоятельно удалить HEUR:Trojan.Multi.GenBadur.genw . После перезагрузки обнаруживается снова.
      Буду признателен за помощь. Спасибо.CollectionLog-2024.11.01-17.38.zip
    • Ярослав Ферхов
      От Ярослав Ферхов
      Антивирус жаловался на троян, я нажал "Лечить с перезагрузкой" , он его вроде вылечил, но после перезагрузки вирус снова появился. Как его вылечить? 

    • dext
      От dext
      вчера было все нормально, но сегодня вечером заметил что с пк что-то не так и через доктор веб проверил, было 3 вируса log4j, ещё вирус с торрентом и там ещё один вирус, почистил всё, и потом приходит уведомления от майкрософта дефендерс, я пытался удалить но, я тупо не нашел эти файлы, или удалил их, но пишет все равно эту фигню, и пк все равно не очень работает хорошо, 16 гб оперативы у пк, и я ещё заметил только что, что Log4j не удалился, помогите
       



    • AndyShugar
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
    • Sopa228
×
×
  • Создать...