trojan.multi.genautoruntask.a

[незнайка63]

Добрый день! Схватила эту гадость, Касперский не удаляет, при нажатии кнопки устранить действий ни каких не происходит. Я в панике.

[regist]

Порядок оформления запроса о помощи.

[незнайка63]

Так вроде все сделала, и лог приложила. лог весит 13 мб, что делать?

 

туповата я

[Mark D. Pearlstone]

@незнайка63, прочитайте ещё раз внимательно, что требуется сделать. После выбора файла для загрузки нужно нажать "Загрузить"..

[незнайка63]

так сделала, но zip-архив весит 13 Мб, более 5 ведь незя.

у меня появился файл CollectionLog-2018.03.08-13.57.zip, но он весит 13 Мб, поэтому и спрашиваю что делать дальше?

говорю же туповата я, сейчас подгрузила

CollectionLog-2018.03.08-13.57.zip

[regist]

Здравствуйте!
 
1) @незнайка63, вы с Украины?

2) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\drivers\{1451f279-8b19-43e6-92be-fda8b8d810d7}w.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{1ffea19d-7c99-423a-a198-c6b90ff23847}w.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{372d03ae-4cb6-4087-9149-bc1c4bc6238d}w.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3e621eab-ed2c-4c84-aec5-15b99c4c467e}w.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{6c040542-e4d8-449f-9075-ee080e3c93a3}w.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{79ff6e5c-8913-4b1b-8d72-66f9fa5a754e}w.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{a3650fd0-e039-4b5a-b4cd-52f4d60871bd}w.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{b75d34e3-cf9c-41d4-bb80-1d1cbdd91a2e}w.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{bfb10c93-5530-4015-9a3f-61dfa880af58}w.sys', '');
 DeleteFile('C:\Windows\system32\drivers\{1451f279-8b19-43e6-92be-fda8b8d810d7}w.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{1ffea19d-7c99-423a-a198-c6b90ff23847}w.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{372d03ae-4cb6-4087-9149-bc1c4bc6238d}w.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{3e621eab-ed2c-4c84-aec5-15b99c4c467e}w.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{6c040542-e4d8-449f-9075-ee080e3c93a3}w.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{79ff6e5c-8913-4b1b-8d72-66f9fa5a754e}w.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{a3650fd0-e039-4b5a-b4cd-52f4d60871bd}w.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{b75d34e3-cf9c-41d4-bb80-1d1cbdd91a2e}w.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{bfb10c93-5530-4015-9a3f-61dfa880af58}w.sys', '32');
 DeleteService('{1451f279-8b19-43e6-92be-fda8b8d810d7}w');
 DeleteService('{1ffea19d-7c99-423a-a198-c6b90ff23847}w');
 DeleteService('{372d03ae-4cb6-4087-9149-bc1c4bc6238d}w');
 DeleteService('{3e621eab-ed2c-4c84-aec5-15b99c4c467e}w');
 DeleteService('{6c040542-e4d8-449f-9075-ee080e3c93a3}w');
 DeleteService('{79ff6e5c-8913-4b1b-8d72-66f9fa5a754e}w');
 DeleteService('{a3650fd0-e039-4b5a-b4cd-52f4d60871bd}w');
 DeleteService('{b75d34e3-cf9c-41d4-bb80-1d1cbdd91a2e}w');
 DeleteService('{bfb10c93-5530-4015-9a3f-61dfa880af58}w');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Flash Player SU');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

4) После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
5) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

6) "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: HTC Sync Loader [command] = C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe -startup (file missing) (HKLM) (2014/10/03)
O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\Alexa\AppData\Local\MailRu\MailRuUpdater.exe  (file missing) (HKCU) (2014/10/03)
O4 - MSConfig\startupreg: STCAgent [command] = C:\Program Files\Splashtop\Splashtop Connect IE\STCAgent.exe  (file missing) (HKLM) (2016/06/28)
O4 - MSConfig\startupreg: VKSaver [command] = C:\ProgramData\VKSaver\VKSaver.exe  (file missing) (HKLM) (2016/06/28)
O4 - MSConfig\startupreg: YandexElements [command] = C:\Program Files\Yandex\Common\elements.exe /auto (file missing) (HKCU) (2014/10/03)
O9 - Button: HKLM\..\{D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - BitComet - res://C:\Program Files\BitComet\tools\BitCometBHO_1.5.4.11.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC4DA2A2-DD22-469F-919C-41CF00534785}: [NameServer] = 139.60.163.48
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC4DA2A2-DD22-469F-919C-41CF00534785}: [NameServer] = 172.93.96.62
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC4DA2A2-DD22-469F-919C-41CF00534785}: [NameServer] = 185.69.152.76
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{CC4DA2A2-DD22-469F-919C-41CF00534785}: [NameServer] = 139.60.163.48
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{CC4DA2A2-DD22-469F-919C-41CF00534785}: [NameServer] = 172.93.96.62
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{CC4DA2A2-DD22-469F-919C-41CF00534785}: [NameServer] = 185.69.152.76
O22 - Task: Launch HTC Sync Loader - C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe -startup (file missing)
O22 - Task: \Microsoft\Windows\Maintenance\WinBAT - C:\ProgramData\Windows\dlchosts.exe (file missing)
O22 - Task: \Microsoft\Windows\Maintenance\WinDAT - C:\ProgramData\Windows NT\dlchosts.exe (file missing)
O22 - Task: {6194D7B2-F18A-4D09-A55A-34B4E8EB89FF} - C:\Program Files\Opera\opera.exe (file missing)
O22 - Task: {7010EE8B-85CF-4C0E-8B64-4087EF0166A4} - c:\program files\opera\opera.exe http://ui.skype.com/ui/0/6.3.0.105/ru/abandoninstall?page=tsProgressBar (file missing)
O22 - Task: {AAAAE781-7CDC-43B8-BC50-DDEF555A1290} - D:\Игры\The Sims 3.Gold Edition.v 18.0.126 + Store\The Sims 3\Game\Bin\Sims3Launcher.exe (file missing)

 
7) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 
PS, часть вирусных хвостов у вас аж с 2014 года.

Изменено 8 марта, 2018 пользователем regist

[незнайка63]

Добрый день! Все сделала кроме пункта 6, не знаю что такое HijackThis. И по поводу 7 пункта не совсем понятно. )))

KLAN-7732979963

Ваше письмо не содержит ни одного файла. Возможно, антивирус на почтовом сервере удалил ваш файл как инфицированный. Если вы нам посылали файл, пожалуйста, отправьте его снова в архиве с паролем "infected" (без кавычек). Вы также можете загрузить файлы на любой популярный файловый хостинг или FTP-сервер.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. 

Антивирусная Лаборатория, Kaspersky Lab HQ 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 

я же девушка подскажите куда в  HijackThis данный код пихать?

Проблема осталась, правда, у меня после  HijackThis тырнет отрубился. Откатила обратно.

[regist]

Все сделала кроме пункта 6, не знаю что такое HijackThis.

по ссылке же написано. Заметили, что слово у вас подсвечено синим цветом и подчёркнуто? Это значит, что это ссылка и оно кликабельно. Нажмите по нему, там всё подробно расписано.

 

 

Проблема осталась, правда, у меня после HijackThis тырнет отрубился.

Значит надо прописать DNS провайдера. В итоге как фиксить вы разобрались?

 

И вы так и не ответили на вопрос, а это важно

незнайка63, вы с Украины?

И по поводу 7 пункта не совсем понятно. )))

а тут что не понятно? Снова соберите логи Автологером, как перед этим собирали. Только

В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

он там сам про Shift напишет. Если вас это смущает, то можете проигнорировать и собрать как собрали в первый раз без нажатия этой кнопки. Но свежие логи нужны в любом случае.

Изменено 8 марта, 2018 пользователем regist