Kaspersky не может удалить Trojan.Multi.GenAutorunTask.b

[war10ck]

Добрый день, только вчера обнаружил этот троян и я не знаю как его удалить. Касперский вроде как находит, но после ребута через некоторое время эта дрань опять вылазит. 

 

Система Windows 10 x64

 

Спасибо большое за помощь заранее.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[war10ck]

Забыл нажать кнопку, извините.

CollectionLog-2018.03.29-18.17.zip

[regist]

"Пофиксите" в HijackThis:

O2-32 - HKLM\..\BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
O22 - Task: \Microsoft\Windows\Setup\EOSNotify - C:\WINDOWS\system32\EOSNotify.exe (file missing)

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[war10ck]

Вот

AdwCleanerS0.txt

[regist]

Программы от Mail.ru используете?
 

[war10ck]

Нет

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[war10ck]

Вот

AdwCleanerC0.txt

[regist]

Что с проблемой?

 

и PhoenixBrowser как понимаю вам не знаком?

[war10ck]

Да, PhoenixBrowser мне не знаком. Касперский всё ещё видит этот троян.

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\system32\tasks\UpdaterPhoenixBrowser', '');
 QuarantineFileF('C:\Users\Alexander\AppData\Local\UpdaterPhoenixBrowser\UpdaterPhoenixBrowser.exe', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Alexander\AppData\Local\UpdaterPhoenixBrowser\UpdaterPhoenixBrowser.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "UpdaterPhoenixBrowser" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Alexander\AppData\Local\UpdaterPhoenixBrowser\UpdaterPhoenixBrowser.exe', '*', true);
 DeleteDirectory('C:\Users\Alexander\AppData\Local\UpdaterPhoenixBrowser\UpdaterPhoenixBrowser.exe');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Проверьте проблему.

[war10ck]

У меня не появляется файл quarantine.zip после перезагрузки. Можно попробовать убрать RebootWindows(true); и тогда я скину вам скриншот?

[regist]

- выполните такой скрипт в AVZ

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

после этого появится (если только повторно не пытались тот скрипт выполнять).

[war10ck]

Создался, но он пустой. Да я выполнял тот скрипт неоднократно.