не могу удалить trojan.multi.genautorunbis.a

[nureke_112]

здравствуйте, у меня на ноутбуке установлено kaspersky internet security. и иногда обнаруживает эту троянскую программу( внизу написано system memory) и не может удалить, постоянно так, уже примерно больше недели.

p/s: всё сделал по инструкции

[Sandor]

Здравствуйте!

 

Возможно Вы забыли нажать кнопку "Загрузить".

[nureke_112]

спасибо

CollectionLog-2018.01.23-16.44.zip

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Nero TuneItUp

Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Пользователь\AppData\Local\DnSjfAdk.bat', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\RuHoeOMC.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "HkwEZQriX" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "yGiIuDa" /F', 0, 15000, true);
 DeleteFile('C:\Users\Пользователь\AppData\Local\DnSjfAdk.bat', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\RuHoeOMC.bat', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Повторите логи по правилам.

Прикрепите к следующему сообщению свежий CollectionLog.

 

Из установленных программ также удалите

Elements Browser

После этого соберите новый CollectionLog.

[nureke_112]

[KLAN-7555486281]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
DnSjfAdk.bat
RuHoeOMC.bat

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

CollectionLog-2018.01.23-18.12.zip

[Sandor]

При установленном Kaspersky Internet Security нужен ли Вам Avast SecureLine?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Elements Browser

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[nureke_112]

удалил всё, что Вы указали

 

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[nureke_112]

всё сделал

AdwCleanerC0.txt

Addition.txt

Shortcut.txt

[Sandor]

Не хватает файла FRST.txt (если "не помещается", упакуйте в архив)

[nureke_112]

пришлось отправить отдельно

FRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  SearchScopes: HKU\S-1-5-21-1047092277-1404968161-4207363118-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B165BB379-735D-424A-9B10-E7EA760E7652%7D&gp=811142
  SearchScopes: HKU\S-1-5-21-1047092277-1404968161-4207363118-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B165BB379-735D-424A-9B10-E7EA760E7652%7D&gp=811142
  FF NewTabOverride: Mozilla\Firefox\Profiles\ernotbmn.default -> Enabled: homepage@mail.ru
  CHR HomePage: Default -> inline.go.mail.ru
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811141"
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B7FE8E998-3DE8-465D-92CE-1B6CB419209C%7D&gp=811142
  CHR DefaultSearchKeyword: Default -> go.mail.ru
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
  2017-12-17 14:42 - 2017-03-19 02:59 - 000001213 _____ () C:\Users\Пользователь\AppData\Local\dhnKGgKcPWih
  2017-03-19 02:59 - 2017-03-19 02:59 - 000001213 _____ () C:\Users\Пользователь\AppData\Local\dhnKGgKcPWih.bat
  2017-12-17 14:42 - 2017-03-19 02:59 - 000000072 _____ () C:\Users\Пользователь\AppData\Local\DnSjfAdk
  2017-12-17 14:42 - 2017-03-19 02:59 - 000001006 _____ () C:\Users\Пользователь\AppData\Local\exKNax
  2017-03-19 02:59 - 2017-03-19 02:59 - 000001006 _____ () C:\Users\Пользователь\AppData\Local\exKNax.bat
  2017-12-17 14:42 - 2017-03-19 02:59 - 000000078 _____ () C:\Users\Пользователь\AppData\Local\RuHoeOMC
  Task: {0347500E-83A3-4542-8428-D16E715AB17E} - System32\Tasks\SkipUAC Удаление следов интернет-серфинга => C:\Program Files (x86)\Nero\Nero TuneItUp\tuneitupStart.exe
  Task: {2B2A4108-1FC4-4152-AB64-75441A9A1068} - System32\Tasks\SkipUAC Надежное удаление данных => C:\Program Files (x86)\Nero\Nero TuneItUp\tuneitupStart.exe
  Task: {41FA31BC-86B3-4847-8A06-FE0F59E95F6F} - System32\Tasks\SkipUAC Дефрагментация дисков => C:\Program Files (x86)\Nero\Nero TuneItUp\tuneitupStart.exe
  Task: {4ED4FE8F-E2F8-46CE-B1D1-DE83A1F4C50F} - System32\Tasks\SkipUAC Оптимизация служб Windows => C:\Program Files (x86)\Nero\Nero TuneItUp\tuneitupStart.exe
  Task: {514A3671-8797-4398-953A-13A4816B1A75} - System32\Tasks\SkipUAC Оптимизация автозагрузки => C:\Program Files (x86)\Nero\Nero TuneItUp\tuneitupStart.exe
  Task: {C631B77A-6EE8-4E2D-AFF2-E6AF31463882} - System32\Tasks\SkipUAC Экономия энергии => C:\Program Files (x86)\Nero\Nero TuneItUp\tuneitupStart.exe
  Task: {CC11C5DD-A603-4D1D-B5FB-A852B003FD84} - System32\Tasks\Nero TuneItUp PRO (Autopilot.exe) => C:\Program Files (x86)\Nero\Nero TuneItUp\Autopilot.exe
  Task: {F48D4C25-4B87-4F2E-A9B6-ED9E0C1EE47C} - System32\Tasks\SkipUAC Очистка реестра => C:\Program Files (x86)\Nero\Nero TuneItUp\tuneitupStart.exe
  Task: C:\WINDOWS\Tasks\Nero TuneItUp PRO (Autopilot.exe).job => C:\Program Files (x86)\Nero\Nero TuneItUp\Autopilot.exe C:\Program Files (x86)\Nero\Nero TuneItUp\LAPTOP-GHJI3K2L\ПользовательNero TuneItUp PRO (Autopilot.exe
  HKU\S-1-5-21-1047092277-1404968161-4207363118-1001\Software\Classes\.scr: scrfile =>  <==== ATTENTION
  FirewallRules: [{BF6451CD-886D-4D2D-99A0-8C8DD1260C97}] => (Allow) C:\Program Files (x86)\Nero\Nero TuneItUp\Autopilot.exe
  FirewallRules: [{54604075-6233-41FF-8908-F1C94E8BC3AF}] => (Allow) C:\Program Files (x86)\Nero\Nero TuneItUp\Autopilot.exe
  FirewallRules: [{0FC2F6BB-2440-40A8-B248-5055CAB98E83}] => (Allow) C:\Program Files (x86)\Nero\Nero TuneItUp\Autopilot.exe
  FirewallRules: [{0C488864-F42A-4317-8080-14F4AB6D6763}] => (Allow) C:\Program Files (x86)\Nero\Nero TuneItUp\Autopilot.exe
  FirewallRules: [{40108CCE-DBB0-4DBF-BB8B-0289653FD196}] => (Allow) C:\Program Files (x86)\Nero\Nero 2018\Nero BackItup\BackItUp.exe
  FirewallRules: [{3D050A32-5782-429E-9CA0-E867E27E2047}] => (Allow) C:\Program Files (x86)\Nero\Nero 2018\Nero BackItup\NBService.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[nureke_112]

готово

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[nureke_112]

запустить проверку?