trojan.multi.GenAutorunBITS.a - как удалить?

[dksmartapp]

Здравствуйте!

ПК начал самопроизвольно открывать браузер Ghrome и десятки вкладок с адресами enclosely. info suggedin. info и т.д. До этого ПК просто был включен целый день и им никто не пользовался.

 

Что сделано:

1. Хром удалил вручную через панель, тогда стал открываться Mozilla (браузер по умолчанию) - и десятки таких же вкладок. Работать возможно только при отключенном интернете. Как только подключаешься - сразу открываются вкладки.

 

2. KVRT нашел 4-5 вредоносов, вылечил/удалил, но trojan.multi.GenAutorunBITS.a появляется снова и снова

 

3. CureIt  нашел еще что-то другое и ~50 зараженных файлов.

 

4. После KVRT + CureIt вкладки уже не открываются самопроизвольно в Mozilla, но при открытии других браузеров - валом идут новые вкладки с рекламой ( хром удален)

 

5. Скачал и запустил AutoLogger по инструкции (лог в приложении)

 

Жду помощи, спасибо!
 

CollectionLog-2018.04.09-12.16.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ClearQuarantine;
 QuarantineFile('C:\Program Files\jetmedia\nativedesktopmediaservice\checker.exe','');
 QuarantineFile('C:\PROGRA~2\261418cf\6912bd3b.dll','');
 DeleteFile('C:\PROGRA~2\261418cf\6912bd3b.dll','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{3A9A56DA-E611-3EFB-D523-FE71BA023B0C}','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176

 

Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).

 

Сделайте новые логи Автологгером. 

 

[dksmartapp]

[member=mike 1],

Спасибо за отклик!

Сделал все по вашей инструкции, на почту отправил карантин.

По поведению ПК стал еще хуже. Каждые 3-4 сек открываются и закрываются 1-2 окна командной строки, потом вкладки в браузере.

 

Прилагаю новый отчет автологгера

CollectionLog-2018.04.09-23.31.zip

Изменено 9 апреля, 2018 пользователем dksmartapp

[mike 1]

Деинсталлируйте NativeDesktopMediaService.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\PROGRA~2\261418cf\6912bd3b.dll','');
 TerminateProcessByName('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe');
 QuarantineFile('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe','');
 DeleteFile('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Checker32','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\F73EE8D4-CD05-B691-DC2C-4CC0E465CAA9','32');
 DeleteFile('C:\PROGRA~2\261418cf\6912bd3b.dll','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis.

 

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O22 - Task: Checker32 - C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe
O22 - Task: F73EE8D4-CD05-B691-DC2C-4CC0E465CAA9 - C:\WINDOWS\system32\regsvr32.exe /n /s /i:"/06d43215e19ac6ec /q" "C:\Users\dksma\AppData\Local\E73E96A2-82E5-288D-4301-2032D33E3FC2\{6912BD3B-A5F4-4F06-992B-2C8E11278B67}.."
O22 - Task: {3A9A56DA-E611-3EFB-D523-FE71BA023B0C} - C:\WINDOWS\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\261418cf\6912bd3b.dll"

Сделайте новые логи Автологгером.

[dksmartapp]

Все сделал по инструкции.

NativeDesktopMediaService деинсталлировал.

 

Карантин выслал на почту с другого ящика, т.к. gmail уже не разрешает прикреплять файлы к письму, ругается на вирус.

 

Сделал 2 сканирования автологгером - первое с отключенным интернетом (таким образом пытался ускорить процесс), второе - с включенным.

 

Стоит лицензионная Win10, встроенный антивирус каждые 10 сек находит новые и новые trojan, dnschanger, browser modifier и т.д.

CollectionLog-2018.04.10-08.38.zip

CollectionLog-2018.04.10-08.58.zip

[mike 1]

• Скачайте отсюда Malwarebytes' Anti-Malware
• Установите MBAM с настройками по умолчанию.
• После установки в главном окне программы, выберите "Параметры".
• В параметрах перейдите на вкладку "Личный кабинет" и нажмите на кнопку "Деактивировать ознакомительную премиум версию".
• При появлении окошка предупреждения, нажмите "Yes".
• Обновите базы, выберите "Проверка" => "Выборочное сканирование", нажмите "Настроить сканирование".
• Сделайте настройки как показано на рисунке ниже:

   

  

• Для сканирование отметьте все доступные диски и нажмите "Запустить проверку"

   

  Самостоятельно ничего не удаляйте!!!.

• По окончанию проверки, нажмите на кнопку "Сохранить результаты проверки", результат проверки сохраните в текстовой файл.
• Сохраните лог на рабочий стол.
• Прикрепите этот лог к следующему вашему сообщению.

[dksmartapp]

отчет Malwarebytes

MBAM 11-04-18 1-52.txt

[mike 1]

Удалите в MBAM все, кроме:

Файл: 36
HackTool.PdfCracker, D:\(D) SOFT\UTILITIES\Удаление пароля с PDF\PWDREMOVER.EXE, Проигнорировано пользователем, [8732], [145278],1.0.4682
Generic.Malware/Suspicious, D:\(D) SOFT\Игры\MINECRAFT\START.EXE, Проигнорировано пользователем, [0], [392686],1.0.4682
HackTool.Agent, D:\(D) SOFT\SKETCHUP RUS\SKETCHUPPRO ENG 2014\Патч\PATCH.EXE, Проигнорировано пользователем, [3981], [1570],1.0.4682

Сделайте новый лог MBAM после удаления.

[dksmartapp]

Здравствуйте.

В MBAM все удалил, кроме указанного.

При повторной проверке ничего не нашлось, отчет прилагаю.

 

После всех проверок и удалений зашел в настройки Защитника Win и увидел там в исключениях странные записи (см. прилагаемый скриншот). Пробую их удалить из исключений, но кнопка "удалить" не активная. Может, это старые записи до работы MBAM?

MBAM 12-04-18 01-33.txt

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[dksmartapp]

прикрепил

AdwCleanerS00.txt

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".

• По окончанию сканирования снимите галочки со следующих строк:

***** [ Folders ] *****
 
Adware.Yelloader                C:\Users\dksma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\notepad3k

• Нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[С0].txt.

• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

[dksmartapp]

сделал по инструкции, с перезагрузкой

AdwCleanerC00.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[dksmartapp]

прикрепляю

FRST.txt

Addition.txt