Перейти к содержанию

Не удается удалить trojan.multi.certstor.a


Рекомендуемые сообщения

Добрый день!

При проверке kasperky virus removal tools в системной памяти находит вирус trojan.multi.certstor.a, после попытки вылечить с перезагрузкой опять находит его.

Файл с логами прикладываю

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\UBar\UbarDriver.sys', '');
 QuarantineFile('C:\Windows\Temp\g7667.tmp.exe', '');
 DeleteFile('C:\Program Files\UBar\UbarDriver.sys', '32');
 DeleteFile('C:\Windows\Temp\g7667.tmp.exe', '32');
 DeleteService('UbarCalloutDriver');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'HOME-ПК');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):


R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3NijfGMLinzBfCmdBRPt4npDFP4twhIRtehtRjwbhOl7hvDVEgYwii4VG818Ube6g3Hvo32cAQ8-ysQYeRMM0mS_ZcoYTVGS3yVpSIzN62FJLSy_XDG3fSxNPpSW_BtqffjlkFdTMG7OUbxm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3NijfGMLinzBfCmdBRPt4npDFP4twhIRtehtRjwbhOl7hvDVEgYwii4VG818Ube6g3Hvo32cAQ8-ysQYeRMM0mS_ZcoYTVGS3yVpSIzN62FJLSy_XDG3fSxNPpSW_BtqffjlkFdTMG7OUbxm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://mail.ru/cnt/10445?gp=821115
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3NijfGMLinzBfCmdBRPt4npDFP4twhIRtehtRjwbhOl7hvDVEgYwii4VG818Ube6g3Hvo32cAQ8-ysQYeRMM0mS_ZcoYTVGS3yVpSIzN62FJLSy_XDG3fSxNPpSW_BtqffjlkFdTMG7OUbxm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3NijfGMLinzBfCmdBRPt4npDFP4twhIRtehtRjwbhOl7hvDVEgYwii4VG818Ube6g3Hvo32cAQ8-ysQYeRMM0mS_ZcoYTVGS3yVpSIzN62FJLSy_XDG3fSxNPpSW_BtqffjlkFdTMG7OUbxmR_fY-hHZlkxjK&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} [SuggestionsURL] = http://suggests.go.mail.ru/ie8?q={searchTerms} - Поиск@Mail.Ru
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} [URL] = http://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B3B18F916-E6AF-4829-9ED5-86F3A4A34A63%7D&gp=821116 - Поиск@Mail.Ru
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch} [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIPcoSf2TGNKmBMhWGXvqWwz3NijfGMLinzBfCmdBRPt4npDFP4twhIRtehtRjwbhOl7hvDVEgYwii4VG818Ube6g3Hvo32cAQ8-ysQYeRMM0mS_ZcoYTVGS3yVpSIzN62FJLSy_XDG3fSxNPpSW_BtqffjlkFdTMG7OUbxmR_fY-hHZlkxjK&q={searchTerms} - Search the web
O4 - HKLM\..\RunOnce: [HOME-ПК] = C:\Windows\Temp\g7667.tmp.exe
O7 - Policy: [Untrusted Certificate] Fix all items from the log
O22 - Task: qctrl - C:\Program Files\System Native\Main Services\qctrl.exe -exec (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Ответ от newvirus@kaspersky.com

KLAN-7558568377

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
g7667.tmp.exe

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

CollectionLog-2018.01.24-11.10.zip

Изменено пользователем Vitos16101974
Ссылка на сообщение
Поделиться на другие сайты

Заменил на новый

Напрасно Вы редактируете предыдущее сообщение. Прикрепите, пожалуйста, к следующему.
Ссылка на сообщение
Поделиться на другие сайты
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

Хотя нет, поставил kaspersky free, начал проверять, опять вылез Trojan.Multi.GenAutorunBITS.a. Счас сделаю отчет


Вот отчет

AdwCleanerS0.txt

Изменено пользователем Vitos16101974
Ссылка на сообщение
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...