Перейти к содержанию
Правила раздела

trojan.multi.GenAutorunBITS.a - как удалить?

dksmartapp

От dksmartapp
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

dksmartapp Новичок

dksmartapp

Опубликовано
Опубликовано

Здравствуйте!

ПК начал самопроизвольно открывать браузер Ghrome и десятки вкладок с адресами enclosely. info suggedin. info и т.д. До этого ПК просто был включен целый день и им никто не пользовался.

 

Что сделано:

1. Хром удалил вручную через панель, тогда стал открываться Mozilla (браузер по умолчанию) - и десятки таких же вкладок. Работать возможно только при отключенном интернете. Как только подключаешься - сразу открываются вкладки.

 

2. KVRT нашел 4-5 вредоносов, вылечил/удалил, но trojan.multi.GenAutorunBITS.a появляется снова и снова

 

3. CureIt  нашел еще что-то другое и ~50 зараженных файлов.

 

4. После KVRT + CureIt вкладки уже не открываются самопроизвольно в Mozilla, но при открытии других браузеров - валом идут новые вкладки с рекламой ( хром удален)

 

5. Скачал и запустил AutoLogger по инструкции (лог в приложении)

 

Жду помощи, спасибо!
 

CollectionLog-2018.04.09-12.16.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ClearQuarantine;
 QuarantineFile('C:\Program Files\jetmedia\nativedesktopmediaservice\checker.exe','');
 QuarantineFile('C:\PROGRA~2\261418cf\6912bd3b.dll','');
 DeleteFile('C:\PROGRA~2\261418cf\6912bd3b.dll','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{3A9A56DA-E611-3EFB-D523-FE71BA023B0C}','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
 

Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).
 
Сделайте новые логи Автологгером. 
 
Ссылка на комментарий
Поделиться на другие сайты
dksmartapp Новичок

dksmartapp

Опубликовано
  • Автор
Опубликовано (изменено)

[member=mike 1],

Спасибо за отклик!

Сделал все по вашей инструкции, на почту отправил карантин.

По поведению ПК стал еще хуже. Каждые 3-4 сек открываются и закрываются 1-2 окна командной строки, потом вкладки в браузере.

 

Прилагаю новый отчет автологгера

CollectionLog-2018.04.09-23.31.zip

Изменено пользователем dksmartapp
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Деинсталлируйте NativeDesktopMediaService.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\PROGRA~2\261418cf\6912bd3b.dll','');
 TerminateProcessByName('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe');
 QuarantineFile('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe','');
 DeleteFile('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Checker32','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\F73EE8D4-CD05-B691-DC2C-4CC0E465CAA9','32');
 DeleteFile('C:\PROGRA~2\261418cf\6912bd3b.dll','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis.

 

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O22 - Task: Checker32 - C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe
O22 - Task: F73EE8D4-CD05-B691-DC2C-4CC0E465CAA9 - C:\WINDOWS\system32\regsvr32.exe /n /s /i:"/06d43215e19ac6ec /q" "C:\Users\dksma\AppData\Local\E73E96A2-82E5-288D-4301-2032D33E3FC2\{6912BD3B-A5F4-4F06-992B-2C8E11278B67}.."
O22 - Task: {3A9A56DA-E611-3EFB-D523-FE71BA023B0C} - C:\WINDOWS\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\261418cf\6912bd3b.dll"
Сделайте новые логи Автологгером.
Ссылка на комментарий
Поделиться на другие сайты
dksmartapp Новичок

dksmartapp

Опубликовано
  • Автор
Опубликовано

Все сделал по инструкции.

NativeDesktopMediaService деинсталлировал.

 

Карантин выслал на почту с другого ящика, т.к. gmail уже не разрешает прикреплять файлы к письму, ругается на вирус.

 

Сделал 2 сканирования автологгером - первое с отключенным интернетом (таким образом пытался ускорить процесс), второе - с включенным.

 

Стоит лицензионная Win10, встроенный антивирус каждые 10 сек находит новые и новые trojan, dnschanger, browser modifier и т.д.

CollectionLog-2018.04.10-08.38.zip

CollectionLog-2018.04.10-08.58.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

  • Скачайте отсюда Malwarebytes' Anti-Malware
  • Установите MBAM с настройками по умолчанию.
  • После установки в главном окне программы, выберите "Параметры".
  • В параметрах перейдите на вкладку "Личный кабинет" и нажмите на кнопку "Деактивировать ознакомительную премиум версию".
  • При появлении окошка предупреждения, нажмите "Yes".
  • Обновите базы, выберите "Проверка" => "Выборочное сканирование", нажмите "Настроить сканирование".
  • Сделайте настройки как показано на рисунке ниже:

     

    Yx93IoF.png

  • Для сканирование отметьте все доступные диски и нажмите "Запустить проверку"

     

    Самостоятельно ничего не удаляйте!!!.

  • По окончанию проверки, нажмите на кнопку "Сохранить результаты проверки", результат проверки сохраните в текстовой файл.
  • Сохраните лог на рабочий стол.
  • Прикрепите этот лог к следующему вашему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Удалите в MBAM все, кроме:

Файл: 36
HackTool.PdfCracker, D:\(D) SOFT\UTILITIES\Удаление пароля с PDF\PWDREMOVER.EXE, Проигнорировано пользователем, [8732], [145278],1.0.4682
Generic.Malware/Suspicious, D:\(D) SOFT\Игры\MINECRAFT\START.EXE, Проигнорировано пользователем, [0], [392686],1.0.4682
HackTool.Agent, D:\(D) SOFT\SKETCHUP RUS\SKETCHUPPRO ENG 2014\Патч\PATCH.EXE, Проигнорировано пользователем, [3981], [1570],1.0.4682

Сделайте новый лог MBAM после удаления.

Ссылка на комментарий
Поделиться на другие сайты
dksmartapp Новичок

dksmartapp

Опубликовано
  • Автор
Опубликовано

Здравствуйте.

В MBAM все удалил, кроме указанного.

При повторной проверке ничего не нашлось, отчет прилагаю.

 

После всех проверок и удалений зашел в настройки Защитника Win и увидел там в исключениях странные записи (см. прилагаемый скриншот). Пробую их удалить из исключений, но кнопка "удалить" не активная. Может, это старые записи до работы MBAM?

MBAM 12-04-18 01-33.txt

post-49516-0-33002900-1523513376_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".

  • По окончанию сканирования снимите галочки со следующих строк:
***** [ Folders ] *****
 
Adware.Yelloader                C:\Users\dksma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\notepad3k
  • Нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[С0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Подробнее читайте в этом руководстве.
 
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Malus_Vir
      Не могу удалить NET:MALWARE.URL
      От Malus_Vir
      Здравствуйте
      Заметил, что ПК начал шуметь, запустил Cureit, нашел вирус, но не смог его удалить.
       
       
       
      Логи прикрепил:
       
      CollectionLog-2025.01.09-01.55.zip
    • Zakhar62668
      Помогите удалить вирус
      От Zakhar62668
      Виндоус дефендер находит постоянно трояны, но удалить не может, также пытался установить разные антивирусы, но все они не запускаются, вылетают ошибки, а также в исключениях есть файлы, которые не удаляются. Сейчас, посмотрев форум, запустил компьютер в безопасном режиме и через флешку установил фарбар рекавери скан тулс(чтоб запустить его пришлось удалить ограничения в редакторе реестра)
    • Эльнар
      [РЕШЕНО] Помогите пожалуйста удалить вирус
      От Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • meowqqq
      как удалить вирус CHROMIUM.PAGE.MALWARE.URL
      От meowqqq
      Несколько раз находил этот вирус на своем компьютер удалял но он все ровно устанавливался 
      file:///C:/Users/short/Downloads/cureit(4280).log
       
    • LeoWels
      [РЕШЕНО] Не могу удалить вирус Heur:Trojan.Multi.GenBadur.genw
      От LeoWels
      Этот вирус давно уже в системе не могу никак избавиться от него Касперский находит его но не может удалить после выполнения лечения система уходит в перезагрузку 
      CollectionLog-2024.12.28-16.07.zip
×
×
  • Создать...