[Trojan.Multi.GenAutorunBITS.a]

[FRostNOva]

Периодически Касперский выдает сообщение что обнаружил Trojan.Multi.GenAutorunBITS.a

CollectionLog-2018.01.21-09.21.zip

 

[regist]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

[FRostNOva]

Report.7z

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

 

Report.7z

[regist]

1) Не надо заниматься оверковотингом. Если поле для быстрого ответа внизу.

2) Ещё раз соберите логи по правилам и прикрепите. В предыдущий раз один из логов почему-то обрезан был.

[FRostNOva]

CollectionLog-2018.01.21-10.36.zip

Report.7z

Report.7z

Изменено 21 января, 2018 пользователем FRostNOva

[regist]

Здравствуйте!

 

1)  - сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

 

2)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Cherry\Anaconda3\Scripts\activate.bat', '');
 QuarantineFile('C:\Users\Cherry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Anaconda3 (64-bit)\Anaconda Prompt.lnk', '');
 QuarantineFile('C:\Users\Cherry\ekKWI.bat', '');
 QuarantineFile('C:\Windows\SysWOW64\aHzuokd.bat', '');
 QuarantineFile('C:\Windows\uenI.exe', '');
 QuarantineFile('C:\Windows\system32\tasks\wMeA', '');
 DeleteFile('C:\Users\Cherry\ekKWI.bat', '32');
 DeleteFile('C:\Windows\SysWOW64\aHzuokd.bat', '32');
 DeleteFile('C:\Windows\uenI.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "uHYEui" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wMeA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "YORBaa" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(20);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

3)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
4) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
 

[FRostNOva]

Check_Browsers_LNK.rar

 

[KLAN-7547202041]

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
activate.bat
Anaconda Prompt.lnk
aHzuokd.bat
wMeA

 

повторил лог Autologger.

CollectionLog-2018.01.21-11.53.zip

[regist]

1)

 

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Пожалуйста, ещё отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

 

2) Driver Booster 5 - деинсталируйте.

 

3) По логу у вас

Kaspersky Free [20180109]-->MsiExec.exe /I{5AAE61FF-858E-453E-B8F3-944618149975}
Kaspersky Internet Security [2018/01/10 14:52:49]-->MsiExec.exe /I{5AAE61FF-858E-453E-B8F3-944618149975} REMOVE=ALL
Kaspersky Secure Connection [2018/01/09 13:46:35]-->MsiExec.exe /I{F33C0717-8E04-4EB5-90C8-47221287DB4F} REMOVE=ALL
Kaspersky Secure Connection [20180109]-->MsiExec.exe /I{F33C0717-8E04-4EB5-90C8-47221287DB4F}

У вас установлен и Kaspersky Free и Kaspersky Internet Security. Каким образом вам удалось одновременно поставить два антивируса не понятно, но нужно оставить только один.

 

4)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

 

Каким образом вам удалось одновременно поставить два антивируса не понятно

или вы просто Kaspersky Free 18 трансформировали в KIS ?

Изменено 21 января, 2018 пользователем regist

[FRostNOva]

@regist,или вы просто Kaspersky Free 18 трансформировали в KIS ? - да, именно так

 

AdwCleanerS0.rar

Изменено 21 января, 2018 пользователем FRostNOva

[regist]

Программы/расширения от Mail.ru используете?
 

[FRostNOva]

нет

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[FRostNOva]

AdwCleanerC0.txt

AdwCleanerS0.txt

Изменено 21 января, 2018 пользователем FRostNOva

[regist]

Что с проблемой?
 

[FRostNOva]

Осталась

Осталась, так же появилось уведомление о угрозе. Но переход по рекламным ссылкам прекратился.

Изменено 21 января, 2018 пользователем FRostNOva