Перейти к содержанию

trojan.multi.GenAutorunBITS.a - как удалить?


Рекомендуемые сообщения

Здравствуйте!

ПК начал самопроизвольно открывать браузер Ghrome и десятки вкладок с адресами enclosely. info suggedin. info и т.д. До этого ПК просто был включен целый день и им никто не пользовался.

 

Что сделано:

1. Хром удалил вручную через панель, тогда стал открываться Mozilla (браузер по умолчанию) - и десятки таких же вкладок. Работать возможно только при отключенном интернете. Как только подключаешься - сразу открываются вкладки.

 

2. KVRT нашел 4-5 вредоносов, вылечил/удалил, но trojan.multi.GenAutorunBITS.a появляется снова и снова

 

3. CureIt  нашел еще что-то другое и ~50 зараженных файлов.

 

4. После KVRT + CureIt вкладки уже не открываются самопроизвольно в Mozilla, но при открытии других браузеров - валом идут новые вкладки с рекламой ( хром удален)

 

5. Скачал и запустил AutoLogger по инструкции (лог в приложении)

 

Жду помощи, спасибо!
 

CollectionLog-2018.04.09-12.16.zip

Ссылка на сообщение
Поделиться на другие сайты
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ClearQuarantine;
 QuarantineFile('C:\Program Files\jetmedia\nativedesktopmediaservice\checker.exe','');
 QuarantineFile('C:\PROGRA~2\261418cf\6912bd3b.dll','');
 DeleteFile('C:\PROGRA~2\261418cf\6912bd3b.dll','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{3A9A56DA-E611-3EFB-D523-FE71BA023B0C}','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
 

Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).
 
Сделайте новые логи Автологгером. 
 
Ссылка на сообщение
Поделиться на другие сайты

[member=mike 1],

Спасибо за отклик!

Сделал все по вашей инструкции, на почту отправил карантин.

По поведению ПК стал еще хуже. Каждые 3-4 сек открываются и закрываются 1-2 окна командной строки, потом вкладки в браузере.

 

Прилагаю новый отчет автологгера

CollectionLog-2018.04.09-23.31.zip

Изменено пользователем dksmartapp
Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте NativeDesktopMediaService.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\PROGRA~2\261418cf\6912bd3b.dll','');
 TerminateProcessByName('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe');
 QuarantineFile('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe','');
 DeleteFile('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Checker32','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\F73EE8D4-CD05-B691-DC2C-4CC0E465CAA9','32');
 DeleteFile('C:\PROGRA~2\261418cf\6912bd3b.dll','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis.

 

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O22 - Task: Checker32 - C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe
O22 - Task: F73EE8D4-CD05-B691-DC2C-4CC0E465CAA9 - C:\WINDOWS\system32\regsvr32.exe /n /s /i:"/06d43215e19ac6ec /q" "C:\Users\dksma\AppData\Local\E73E96A2-82E5-288D-4301-2032D33E3FC2\{6912BD3B-A5F4-4F06-992B-2C8E11278B67}.."
O22 - Task: {3A9A56DA-E611-3EFB-D523-FE71BA023B0C} - C:\WINDOWS\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\261418cf\6912bd3b.dll"
Сделайте новые логи Автологгером.
Ссылка на сообщение
Поделиться на другие сайты

Все сделал по инструкции.

NativeDesktopMediaService деинсталлировал.

 

Карантин выслал на почту с другого ящика, т.к. gmail уже не разрешает прикреплять файлы к письму, ругается на вирус.

 

Сделал 2 сканирования автологгером - первое с отключенным интернетом (таким образом пытался ускорить процесс), второе - с включенным.

 

Стоит лицензионная Win10, встроенный антивирус каждые 10 сек находит новые и новые trojan, dnschanger, browser modifier и т.д.

CollectionLog-2018.04.10-08.38.zip

CollectionLog-2018.04.10-08.58.zip

Ссылка на сообщение
Поделиться на другие сайты

  • Скачайте отсюда Malwarebytes' Anti-Malware
  • Установите MBAM с настройками по умолчанию.
  • После установки в главном окне программы, выберите "Параметры".
  • В параметрах перейдите на вкладку "Личный кабинет" и нажмите на кнопку "Деактивировать ознакомительную премиум версию".
  • При появлении окошка предупреждения, нажмите "Yes".
  • Обновите базы, выберите "Проверка" => "Выборочное сканирование", нажмите "Настроить сканирование".
  • Сделайте настройки как показано на рисунке ниже:

     

    Yx93IoF.png

  • Для сканирование отметьте все доступные диски и нажмите "Запустить проверку"

     

    Самостоятельно ничего не удаляйте!!!.

  • По окончанию проверки, нажмите на кнопку "Сохранить результаты проверки", результат проверки сохраните в текстовой файл.
  • Сохраните лог на рабочий стол.
  • Прикрепите этот лог к следующему вашему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Удалите в MBAM все, кроме:

Файл: 36
HackTool.PdfCracker, D:\(D) SOFT\UTILITIES\Удаление пароля с PDF\PWDREMOVER.EXE, Проигнорировано пользователем, [8732], [145278],1.0.4682
Generic.Malware/Suspicious, D:\(D) SOFT\Игры\MINECRAFT\START.EXE, Проигнорировано пользователем, [0], [392686],1.0.4682
HackTool.Agent, D:\(D) SOFT\SKETCHUP RUS\SKETCHUPPRO ENG 2014\Патч\PATCH.EXE, Проигнорировано пользователем, [3981], [1570],1.0.4682

Сделайте новый лог MBAM после удаления.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

В MBAM все удалил, кроме указанного.

При повторной проверке ничего не нашлось, отчет прилагаю.

 

После всех проверок и удалений зашел в настройки Защитника Win и увидел там в исключениях странные записи (см. прилагаемый скриншот). Пробую их удалить из исключений, но кнопка "удалить" не активная. Может, это старые записи до работы MBAM?

MBAM 12-04-18 01-33.txt

post-49516-0-33002900-1523513376_thumb.png

Ссылка на сообщение
Поделиться на другие сайты

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".

  • По окончанию сканирования снимите галочки со следующих строк:
***** [ Folders ] *****
 
Adware.Yelloader                C:\Users\dksma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\notepad3k
  • Нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[С0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Подробнее читайте в этом руководстве.
 
Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...