Перейти к содержанию

trojan.multi.GenAutorunBITS.a - как удалить?


Рекомендуемые сообщения

Здравствуйте!

ПК начал самопроизвольно открывать браузер Ghrome и десятки вкладок с адресами enclosely. info suggedin. info и т.д. До этого ПК просто был включен целый день и им никто не пользовался.

 

Что сделано:

1. Хром удалил вручную через панель, тогда стал открываться Mozilla (браузер по умолчанию) - и десятки таких же вкладок. Работать возможно только при отключенном интернете. Как только подключаешься - сразу открываются вкладки.

 

2. KVRT нашел 4-5 вредоносов, вылечил/удалил, но trojan.multi.GenAutorunBITS.a появляется снова и снова

 

3. CureIt  нашел еще что-то другое и ~50 зараженных файлов.

 

4. После KVRT + CureIt вкладки уже не открываются самопроизвольно в Mozilla, но при открытии других браузеров - валом идут новые вкладки с рекламой ( хром удален)

 

5. Скачал и запустил AutoLogger по инструкции (лог в приложении)

 

Жду помощи, спасибо!
 

CollectionLog-2018.04.09-12.16.zip

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ClearQuarantine;
 QuarantineFile('C:\Program Files\jetmedia\nativedesktopmediaservice\checker.exe','');
 QuarantineFile('C:\PROGRA~2\261418cf\6912bd3b.dll','');
 DeleteFile('C:\PROGRA~2\261418cf\6912bd3b.dll','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{3A9A56DA-E611-3EFB-D523-FE71BA023B0C}','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
 

Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).
 
Сделайте новые логи Автологгером. 
 
Ссылка на комментарий
Поделиться на другие сайты

[member=mike 1],

Спасибо за отклик!

Сделал все по вашей инструкции, на почту отправил карантин.

По поведению ПК стал еще хуже. Каждые 3-4 сек открываются и закрываются 1-2 окна командной строки, потом вкладки в браузере.

 

Прилагаю новый отчет автологгера

CollectionLog-2018.04.09-23.31.zip

Изменено пользователем dksmartapp
Ссылка на комментарий
Поделиться на другие сайты

Деинсталлируйте NativeDesktopMediaService.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\PROGRA~2\261418cf\6912bd3b.dll','');
 TerminateProcessByName('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe');
 QuarantineFile('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe','');
 DeleteFile('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Checker32','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\F73EE8D4-CD05-B691-DC2C-4CC0E465CAA9','32');
 DeleteFile('C:\PROGRA~2\261418cf\6912bd3b.dll','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis.

 

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O22 - Task: Checker32 - C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe
O22 - Task: F73EE8D4-CD05-B691-DC2C-4CC0E465CAA9 - C:\WINDOWS\system32\regsvr32.exe /n /s /i:"/06d43215e19ac6ec /q" "C:\Users\dksma\AppData\Local\E73E96A2-82E5-288D-4301-2032D33E3FC2\{6912BD3B-A5F4-4F06-992B-2C8E11278B67}.."
O22 - Task: {3A9A56DA-E611-3EFB-D523-FE71BA023B0C} - C:\WINDOWS\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\261418cf\6912bd3b.dll"
Сделайте новые логи Автологгером.
Ссылка на комментарий
Поделиться на другие сайты

Все сделал по инструкции.

NativeDesktopMediaService деинсталлировал.

 

Карантин выслал на почту с другого ящика, т.к. gmail уже не разрешает прикреплять файлы к письму, ругается на вирус.

 

Сделал 2 сканирования автологгером - первое с отключенным интернетом (таким образом пытался ускорить процесс), второе - с включенным.

 

Стоит лицензионная Win10, встроенный антивирус каждые 10 сек находит новые и новые trojan, dnschanger, browser modifier и т.д.

CollectionLog-2018.04.10-08.38.zip

CollectionLog-2018.04.10-08.58.zip

Ссылка на комментарий
Поделиться на другие сайты

  • Скачайте отсюда Malwarebytes' Anti-Malware
  • Установите MBAM с настройками по умолчанию.
  • После установки в главном окне программы, выберите "Параметры".
  • В параметрах перейдите на вкладку "Личный кабинет" и нажмите на кнопку "Деактивировать ознакомительную премиум версию".
  • При появлении окошка предупреждения, нажмите "Yes".
  • Обновите базы, выберите "Проверка" => "Выборочное сканирование", нажмите "Настроить сканирование".
  • Сделайте настройки как показано на рисунке ниже:

     

    Yx93IoF.png

  • Для сканирование отметьте все доступные диски и нажмите "Запустить проверку"

     

    Самостоятельно ничего не удаляйте!!!.

  • По окончанию проверки, нажмите на кнопку "Сохранить результаты проверки", результат проверки сохраните в текстовой файл.
  • Сохраните лог на рабочий стол.
  • Прикрепите этот лог к следующему вашему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Удалите в MBAM все, кроме:

Файл: 36
HackTool.PdfCracker, D:\(D) SOFT\UTILITIES\Удаление пароля с PDF\PWDREMOVER.EXE, Проигнорировано пользователем, [8732], [145278],1.0.4682
Generic.Malware/Suspicious, D:\(D) SOFT\Игры\MINECRAFT\START.EXE, Проигнорировано пользователем, [0], [392686],1.0.4682
HackTool.Agent, D:\(D) SOFT\SKETCHUP RUS\SKETCHUPPRO ENG 2014\Патч\PATCH.EXE, Проигнорировано пользователем, [3981], [1570],1.0.4682

Сделайте новый лог MBAM после удаления.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.

В MBAM все удалил, кроме указанного.

При повторной проверке ничего не нашлось, отчет прилагаю.

 

После всех проверок и удалений зашел в настройки Защитника Win и увидел там в исключениях странные записи (см. прилагаемый скриншот). Пробую их удалить из исключений, но кнопка "удалить" не активная. Может, это старые записи до работы MBAM?

MBAM 12-04-18 01-33.txt

post-49516-0-33002900-1523513376_thumb.png

Ссылка на комментарий
Поделиться на другие сайты


Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".

  • По окончанию сканирования снимите галочки со следующих строк:
***** [ Folders ] *****
 
Adware.Yelloader                C:\Users\dksma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\notepad3k
  • Нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[С0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Подробнее читайте в этом руководстве.
 
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Nickopol
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • neewdead
    • Ruslan10202
    • bruh
      Автор bruh
      скачал я файл с вирусом и компьютер начел грется а вирус не удаляется помогите пожайлуста
      CollectionLog-2025.05.31-21.22.zip
    • alexander6624
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

×
×
  • Создать...