trojan.multi.gen autorun bits

[Никита Терлеев]

Здраствуйте, у меня такая же проблема, но если честно, я не понял что нужно сделать

[thyrex]

Порядок оформления запроса о помощи

[Никита Терлеев]

 Здравствуйте.

 

Антивирус касперского не может удалить trojan.multi.gen autorun bits.a, после лечение и перезагрузки  каждые три часа вылетает черное окно, и спустя какое то время выходит вновь "Обнаружена вредоносная программа"

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

CollectionLog-2018.02.17-18.19.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Никита\AppData\Local\tGbXNGSXNH.bat','');
 QuarantineFile('C:\Users\Никита\AppData\Local\hWoVgq.bat','');
 DeleteFile('C:\Users\Никита\AppData\Local\hWoVgq.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\hvXcFcwrx','64');
 DeleteFile('C:\Users\Никита\AppData\Local\tGbXNGSXNH.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\snlrXHl','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Никита Терлеев]

KLAN-7654861165

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

--------------------------------------------------------------------------------
From: 
Sent: 2/17/2018 9:24:00 PM
To: newvirus@kaspersky.com
Subject: quarantine.zip

CollectionLog-2018.02.17-23.32.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Никита Терлеев]

На всякий случий отправляю свежий файл автологера

Desktop.rar

CollectionLog-2018.02.18-17.28.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
2017-12-02 21:43 - 2017-12-02 21:43 - 000000001 _____ C:\Users\Никита\AppData\Local\WMI.ini
2017-12-02 21:43 - 2016-07-16 16:43 - 000001032 _____ C:\Users\Никита\AppData\Local\fxDqeyry
2017-12-02 21:43 - 2016-07-16 16:43 - 000001009 _____ C:\Users\Никита\AppData\Local\EjXmP
2017-12-02 21:43 - 2016-07-16 16:43 - 000000068 _____ C:\Users\Никита\AppData\Local\hWoVgq
2017-12-02 21:43 - 2016-07-16 16:43 - 000000065 _____ C:\Users\Никита\AppData\Local\tGbXNGSXNH
2017-12-02 21:43 - 2016-07-16 16:42 - 000177152 _____ (Microsoft Corporation) C:\Windows\SysWOW64\7600526.exe
2017-12-02 21:42 - 2017-12-02 21:42 - 000000000 ____D C:\Users\Никита\AppData\Roaming\BrowserModule
2017-12-02 21:43 - 2016-07-16 16:43 - 000001009 _____ () C:\Users\Никита\AppData\Local\EjXmP
2016-07-16 16:43 - 2016-07-16 16:43 - 000001009 _____ () C:\Users\Никита\AppData\Local\EjXmP.bat
2017-12-02 21:43 - 2016-07-16 16:43 - 000001032 _____ () C:\Users\Никита\AppData\Local\fxDqeyry
2016-07-16 16:43 - 2016-07-16 16:43 - 000001032 _____ () C:\Users\Никита\AppData\Local\fxDqeyry.bat
2017-12-02 21:43 - 2016-07-16 16:43 - 000000068 _____ () C:\Users\Никита\AppData\Local\hWoVgq
2017-12-02 21:43 - 2016-07-16 16:43 - 000000065 _____ () C:\Users\Никита\AppData\Local\tGbXNGSXNH
2017-12-02 21:43 - 2017-12-02 21:43 - 000000001 _____ () C:\Users\Никита\AppData\Local\WMI.ini
2017-11-07 10:29 - 2018-02-07 22:00 - 000000000 _____ () C:\Users\Никита\AppData\Local\Temp\00e481b5e22dbe1f649fcddd505d3eb7.dll
2017-11-07 10:30 - 2018-02-07 22:00 - 000000016 _____ () C:\Users\Никита\AppData\Local\Temp\c3acdab7b4c69524939daefd3ea04432.dll
Task: {0BCFD966-C0E3-4A41-A27F-142BC782D303} - \AAct -> No File <==== ATTENTION
Task: {399E622F-EC31-462C-ACF6-6F92E517E4AC} - \hvXcFcwrx -> No File <==== ATTENTION
Task: {A5E6AA77-295D-413A-896F-91CC0E762D5D} - \snlrXHl -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Никита Терлеев]

 Fixlog

Fixlog.txt

[thyrex]

Проблема решена?

[Никита Терлеев]

Оставил на целый день компьютер включенным, ничего не было. Огромное спасибо за помощь!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Никита Терлеев]

User: Никита

VersionXML: 4.86is-13.02.2018

___________________________________________________________________________

 

Windows 10(6.3.14393) (x64) EnterpriseS Версия: 1607 Lang: Russian(0419)

Дата установки ОС: 30.10.2017 21:07:40

Статус лицензии: Windows®, EnterpriseS edition Срок истечения многопользовательской активации: 225359 мин.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [232.3 Гб] Занято: [67.8 Гб] Свободно: [164.5 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.2007.14393.0

Контроль учётных записей пользователя включен (Уровень 3)

Уведомлять о загрузке и установке обновлений

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

---------------------------- [ Antivirus_WMI ] ----------------------------

Kaspersky Total Security (включен и обновлен)

Malwarebytes (включен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Total Security (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Malwarebytes (включен и обновлен)

Kaspersky Total Security (включен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Total Security v.18.0.0.405

Kaspersky Secure Connection v.18.0.0.405

-------------------------- [ SecurityUtilities ] --------------------------

Malwarebytes, версия 3.3.1.2183 v.3.3.1.2183

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Viber v.7.0.0.1035

Skype™ 7.40 v.7.40.151

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.1.44332 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

Shareman, версия 102.3.78.218 v.102.3.78.218 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

------------------------------- [ Browser ] -------------------------------

Google Chrome v.64.0.3282.140

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.64.0.3282.140

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 18.0.0 (AVP18.0.0) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 18.0.0\avp.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 18.0.0\avpui.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksde.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksdeui.exe v.18.0.0.405

C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.3.0.0.1284

Malwarebytes Service (MBAMService) - Служба работает

C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.1.0.595

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

----------------------------- [ End of Log ] ------------------------------

[thyrex]

Выполните рекомендованное, и на этом закончим

[Никита Терлеев]

Спасибо!