trojan.multi.gen autorun bits.a

[SerSerg]

Здравствуйте.

 

Антивирус касперского не может удалить trojan.multi.gen autorun bits.a, после лечение и перезагрузки постоянно выходит вновь "Обнаружена вредоносная программа"

 

CollectionLog-2018.02.14-20.53.zip

 

 

CollectionLog-2018.02.14-20.53.zip

Изменено 14 февраля, 2018 пользователем SerSerg

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\VIGYYeIo.bat','');
 QuarantineFile('C:\Users\Serg\AppData\Local\isaa.exe','');
 QuarantineFile('C:\ProgramData\Windows\System32\x64\isaa.exe','');
 QuarantineFile('C:\Users\Serg\AppData\Roaming\isaa.exe','');
 QuarantineFile('C:\Users\Serg\AppData\Local\Temp\isaa.exe','');
 QuarantineFile('C:\Windows\DEAYcHMpi.bat','');
 DeleteFile('C:\Windows\DEAYcHMpi.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\goXUUgG','64');
 DeleteFile('C:\Windows\system32\Tasks\yAtUXty','64');
 DeleteFile('C:\Windows\VIGYYeIo.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[SerSerg]

KLAN-7643613449
 
Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
VIGYYeIo.bat
isaa.exe
isaa_0.exe
isaa_1.exe
DEAYcHMpi.bat

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.
 
CollectionLog-2018.02.15-02.07.zip

Изменено 14 февраля, 2018 пользователем SerSerg

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[SerSerg]

Scan.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
AlternateShell: 
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ligncphnohhjkgekjkghahajihclailj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - hxxps://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh
CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
2018-01-06 23:19 - 2010-11-21 07:24 - 000073216 _____ (Microsoft Corporation) C:\Program Files (x86)\LGuFiVxeIe.exe
2018-01-06 22:43 - 2018-01-12 02:07 - 000122368 ____H (Intel ARK Company ) C:\Users\Serg\AppData\Roaming\isaa.exe
2018-01-06 23:19 - 2010-11-21 07:24 - 000186368 _____ (Microsoft Corporation) C:\Users\Serg\AppData\Roaming\pIyy.exe
2018-01-06 23:19 - 2009-07-14 05:14 - 000001049 _____ () C:\Users\Serg\AppData\Local\iBufyUeOEe
2009-07-14 05:14 - 2009-07-14 05:14 - 000001049 _____ () C:\Users\Serg\AppData\Local\iBufyUeOEe.bat
2018-01-06 22:43 - 2018-01-12 02:07 - 000122368 ____S (Intel ARK Company ) C:\Users\Serg\AppData\Local\isaa.exe
Task: {18819FFF-066D-4039-927A-D9A72E3E447F} - System32\Tasks\Windows\SpaceManagTask => C:\Users\Serg\AppData\Local\isaa.exe [2018-01-12] (Intel ARK Company )
Task: {3B69F7F1-FB4F-4538-92C9-666549122638} - System32\Tasks\Windows\ServiceRun => C:\ProgramData\Windows\System32\x64\isaa.exe [2018-01-12] (Intel ARK Company )
Task: {67F1B1A8-DBD9-40CB-A37B-940E53DB12E8} - System32\Tasks\Windows\CampaignManager => C:\Users\Serg\AppData\Local\Temp\isaa.exe <==== ATTENTION
Task: {84AD3CE9-51A5-4F29-B6A2-915946B04195} - \goXUUgG -> No File <==== ATTENTION
Task: {98034D6F-CFD9-4EC4-AFFB-6F48FA6A319D} - System32\Tasks\Windows\FamilySafetyRefresherTask => C:\Users\Serg\AppData\Roaming\isaa.exe [2018-01-12] (Intel ARK Company ) <==== ATTENTION
Task: {BAA8A084-1509-4C2C-9B2D-46FCB7309CD2} - \yAtUXty -> No File <==== ATTENTION
Task: {E8C226AD-A67C-4729-8086-1CF3DE9A779D} - \xCIBdYigume -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[SerSerg]

Fixlog.txt

[thyrex]

Проблема решена?

[SerSerg]

 

К сожалению, нет.

 

 

[thyrex]

Сделайте лог полного сканирования МВАМ

[SerSerg]

Scan.txt

[thyrex]

Удалите в МВАМ все, КРОМЕ

RiskWare.Tool.HCK, F:\DAWN\3DMARK11\KEYS\3DMARK11_KEYGEN.EXE, Проигнорировано пользователем, [1989], [137946],1.0.3962
HackTool.Agent, F:\DAWN\METAPRODUCTS OFFLINE EXPLORER ENTERPRISE V6.5.3880 FINAL ML_RUS\OFFLINE EXPLORER ENTERPRISE\KEYGEN.AND.PATCH-BRD\PATCH.EXE, Проигнорировано пользователем, [416], [1570],1.0.3962
Generic.Malware/Suspicious, F:\DAWN\METAPRODUCTS OFFLINE EXPLORER ENTERPRISE V6.5.3880 FINAL ML_RUS\OFFLINE EXPLORER ENTERPRISE\KEYGEN.AND.PATCH-BRD\KEYGEN.EXE, Проигнорировано пользователем, [0], [392686],1.0.3962
HackTool.Agent, F:\DAWN\METAPRODUCTS OFFLINE EXPLORER ENTERPRISE V6.5.3880 FINAL ML_RUS\PORTABLE OFFLINE BROWSER\KEYGEN.AND.PATCH-BRD\PATCH.EXE, Проигнорировано пользователем, [416], [1570],1.0.3962
Generic.Malware/Suspicious, F:\DAWN\METAPRODUCTS OFFLINE EXPLORER ENTERPRISE V6.5.3880 FINAL ML_RUS\PORTABLE OFFLINE BROWSER\KEYGEN.AND.PATCH-BRD\KEYGEN.EXE, Проигнорировано пользователем, [0], [392686],1.0.3962
PUP.Optional.LoadMoney, F:\DAWN\REGORGANIZER_7_50.ZIP, Проигнорировано пользователем, [14], [336491],1.0.3962
HackTool.WpaKill, F:\DAWN\REMOVEWAT.EXE, Проигнорировано пользователем, [3450], [75683],1.0.3962
RiskWare.GameHack, F:\GAME\MEN OF WAR - ASSAULT SQUAD 2\STEAM_API.DLL, Проигнорировано пользователем, [421], [305544],1.0.3962
RiskWare.GameHack.Steam, F:\GAME\MEN OF WAR - ASSAULT SQUAD 2\STEAMCLIENT.DLL, Проигнорировано пользователем, [626], [311644],1.0.3962
HackTool.Agent.CRK, F:\GAME\MEN OF WAR.ASSAULT SQUAD.V 2.05.13 + 6 DLC\RLD.DLL, Проигнорировано пользователем, [9096], [146770],1.0.3962
RiskWare.GameHack.Steam, F:\GAME\THE WALKING DEAD SEASON 2\STEAMCLIENT.DLL, Проигнорировано пользователем, [626], [311644],1.0.3962
RiskWare.GameHack, F:\GAMES\HELLBLADE SENUA'S SACRIFICE\ENGINE\BINARIES\THIRDPARTY\STEAMWORKS\STEAMV132\WIN64\STEAM_API64.DLL, Проигнорировано пользователем, [421], [305544],1.0.3962
PUP.Optional.OpenCandy, E:\USERS\Серж\APPDATA\LOCAL\TEMP\ASTROBURNLITE161-0171.EXE, Проигнорировано пользователем, [476], [297667],1.0.3962
PUP.Optional.OpenCandy, E:\USERS\Серж\APPDATA\LOCAL\TEMP\ASTROBURNLITE180-0182.EXE, Проигнорировано пользователем, [476], [297667],1.0.3962
PUP.Optional.WebAlta, E:\USERS\Серж\APPDATA\LOCAL\TEMP\CALL OF DUTY BLACK OPS II DIGITAL DELUXE EDITION_11011095_162_RAR.EXE, Проигнорировано пользователем, [813], [10754],1.0.3962
PUP.Optional.OpenCandy, E:\USERS\Серж\APPDATA\ROAMING\UTORRENT\UPDATES\3.4.2_37754.EXE, Проигнорировано пользователем, [476], [431539],1.0.3962
RiskWare.Tool.HCK, E:\PROGRAM FILES\CRACKED STEAM\CRACKED STEAM.EXE, Проигнорировано пользователем, [1989], [65577],1.0.3962

[SerSerg]

Проблема решена. Спасибо за помощь 

[thyrex]

Удалите МВАМ.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[SerSerg]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 17.02.2018 02:56:32

Path starting: C:\Users\Serg\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Serg

VersionXML: 4.86is-13.02.2018

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)

Дата установки ОС: 13.10.2014 11:28:24

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [50.1 Гб] Занято: [39.5 Гб] Свободно: [10.6 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17280 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен (Уровень 3)

Автоматическое обновление отключено (-1)

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба работает

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------- [ HotFix ] --------------------------------

HotFix KB3115858 Внимание! Скачать обновления

HotFix KB3140735 Внимание! Скачать обновления

HotFix KB3138910 Внимание! Скачать обновления

HotFix KB3138962 Внимание! Скачать обновления

HotFix KB3145739 Внимание! Скачать обновления

HotFix KB3146963 Внимание! Скачать обновления

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3156016 Внимание! Скачать обновления

HotFix KB3156019 Внимание! Скачать обновления

HotFix KB3155178 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3170455 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3185911 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

HotFix KB4041678 Внимание! Скачать обновления

HotFix KB4056894 Внимание! Скачать обновления

HotFix KB4056897 Внимание! Скачать обновления

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

---------------------- [ AntiVirusFirewallInstall ] -----------------------

McAfee Security Scan Plus v.3.11.599.11

Kaspersky CRYSTAL v.13.0.2.558

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.11 (64-разрядная) v.5.11.0 Внимание! Скачать обновления

FileZilla Client 3.20.0 v.3.20.0 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.1.44332 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Acrobat Reader DC - Russian v.18.011.20036

------------------------------- [ Browser ] -------------------------------

Google Chrome v.63.0.3239.132 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.63.0.3239.132

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service (AVP) - Служба работает

avp.exe

McAfee Security Scan Component Host Service (McComponentHostService) - Служба остановлена

Защитник Windows (WinDefend) - Служба работает

----------------------------- [ End of Log ] ------------------------------