Не вылечено: Trojan.Multi.GenAutorunBITS.a

[Андрей Рогов]

Антивирус Касперского 10 обнаруживает, но не удаляет данный вирус. Предлагает только вариант лечения с перезагрузкой, но результата нет.

 

Компьютер проверен KES 10 и CureIt. Так же отработал AdwCleaner

 

 

CollectionLog-2018.02.24-22.00.zip

[regist]

  Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\755E~1\AppData\Local\70D080~1\{90138~1.', '');
 QuarantineFile('C:\WINDOWS\system32\tasks\urlopener', '');
 DeleteFile('C:\Users\755E~1\AppData\Local\70D080~1\{90138~1.', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "70D6801E-FD22-B984-9680-79D65380A125" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "urlopener" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - MSConfig\startupreg: IAStorIcon [command] = C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60 (file missing) (HKLM) (2018/02/24)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0819F3E1-7696-4AA4-8F8F-43AB8D4B5DB1}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{0819F3E1-7696-4AA4-8F8F-43AB8D4B5DB1}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0819F3E1-7696-4AA4-8F8F-43AB8D4B5DB1}: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{0819F3E1-7696-4AA4-8F8F-43AB8D4B5DB1}: [NameServer] = 82.163.143.176
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (file missing)
O22 - Task: ASC8_PerformanceMonitor - C:\Program Files (x86)\IObit\Advanced SystemCare 8\Monitor.exe /Task (file missing)
O22 - Task: ASC8_SkipUac_пользователь - C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe /SkipUac (file missing)
O22 - Task: Adobe Flash Player Airapp - C:\Users\пользователь\AppData\Local\Adobe\Flash Player\airappinstaller.exe -update (file missing)
O22 - Task: Driver Booster SkipUAC (пользователь) - C:\Program Files (x86)\IObit\Driver Booster\4.3.0\DriverBooster.exe /skipuac (file missing)
O22 - Task: Vkmusicdownloader - C:\Users\пользователь\AppData\Local\Microsoft\Windows\Vkmusicdownloader.exe (file missing)
O22 - Task: urlopener - C:\Users\пользователь\AppData\Local\Yandex\YandexBrowser\Application\browser.exe "http://traff1.ru" (file missing)

Google Toolbar for Internet Explorer - если не используете, то деинсталируйте.

Scan To - сами ставили? Используете? Если нет, то тоже деинсталируйте.
 
- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.


Для повторной диагностики запустите снова AutoLogger.
 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Изменено 24 февраля, 2018 пользователем regist

[Андрей Рогов]

Готово

AdwCleanerS3.txt

ClearLNK-24.02.2018_22-36.log

CollectionLog-2018.02.24-22.42.zip

[regist]

 

 

Scan To - сами ставили?

не ответили и не удалили.

+ Программы/расширения от Mail.ru и Яндекс используете?
 

[Андрей Рогов]

 

Scan To - сами ставили?

не ответили и не удалили.

+ Программы/расширения от Mail.ru и Яндекс используете?

 

 

не ответили и не удалили.

+ Программы/расширения от Mail.ru и Яндекс используете?

 

Scan To - ставили сами, это программа от HP

 

 

 

Программы/расширения были, но старался все удалить.

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.

   

  PS. для цитирования нужного текста, просто выделяете его и нажимаете кнопку "Ник или цитата" под сообщением. Просто для ответа есть поле внизу темы. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.