Не могу удалить trojan.multi.gen autorun bits.a

[otonono 0]

Здравствуйте.

 

Антивирус касперского не может удалить trojan.multi.gen autorun bits.a, после лечение и перезагрузки постоянно выходит вновь.

CollectionLog-2018.05.17-18.51.zip

[regist 617]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\LUCEMV~1\AppData\Local\Temp\{64BC2C64-0CBA-4EBB-A0EC-A334061BAC9B}\{34C760C0-87D6-4E85-BCE1-782631ECD019}.tmp', '');
 QuarantineFile('C:\Users\LUCEMV~1\AppData\Local\Temp\{64BC2C64-0CBA-4EBB-A0EC-A334061BAC9B}\{374F68E4-C9E2-4F1E-B159-8BB4BD1462FE}.tmp', '');
 QuarantineFile('C:\Users\LUCEMV~1\AppData\Local\Temp\{64BC2C64-0CBA-4EBB-A0EC-A334061BAC9B}\{3C5341C1-4385-42C8-A6B7-C7AB0543AEDE}.tmp', '');
 QuarantineFile('C:\Users\LUCEMV~1\AppData\Local\Temp\{64BC2C64-0CBA-4EBB-A0EC-A334061BAC9B}\{45B6358C-9F0B-42CA-82B5-17C03480F79D}.tmp', '');
 QuarantineFile('C:\Users\LUCEMV~1\AppData\Local\Temp\{64BC2C64-0CBA-4EBB-A0EC-A334061BAC9B}\{54616AFC-1965-4E10-AF04-999824B5A85E}.tmp', '');
 QuarantineFile('C:\Windows\systemnode\0.0.1.50\workerdll.dll', '');
 QuarantineFileF('C:\Windows\systemnode\0.0.1.50\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\LUCEMV~1\AppData\Local\Temp\{64BC2C64-0CBA-4EBB-A0EC-A334061BAC9B}\{34C760C0-87D6-4E85-BCE1-782631ECD019}.tmp', '');
 DeleteFile('C:\Users\LUCEMV~1\AppData\Local\Temp\{64BC2C64-0CBA-4EBB-A0EC-A334061BAC9B}\{374F68E4-C9E2-4F1E-B159-8BB4BD1462FE}.tmp', '');
 DeleteFile('C:\Users\LUCEMV~1\AppData\Local\Temp\{64BC2C64-0CBA-4EBB-A0EC-A334061BAC9B}\{3C5341C1-4385-42C8-A6B7-C7AB0543AEDE}.tmp', '');
 DeleteFile('C:\Users\LUCEMV~1\AppData\Local\Temp\{64BC2C64-0CBA-4EBB-A0EC-A334061BAC9B}\{45B6358C-9F0B-42CA-82B5-17C03480F79D}.tmp', '');
 DeleteFile('C:\Users\LUCEMV~1\AppData\Local\Temp\{64BC2C64-0CBA-4EBB-A0EC-A334061BAC9B}\{54616AFC-1965-4E10-AF04-999824B5A85E}.tmp', '');
 DeleteFile('C:\Windows\systemnode\0.0.1.50\workerdll.dll', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

"Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://ru.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10438__171030__yaie
O4 - HKLM\..\Session Manager: [BootExecute] = (no file)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk [backup] => C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (2017/12/05) (file missing)
O4-32 - HKLM\..\RunOnce: [{001E06BD-D4FD-4231-BE1C-08D757FCE136}] = C:\Windows\system32\cmd.exe /C start /D "C:\Users\LUCEMV~1\AppData\Local\Temp" /B {001E06BD-D4FD-4231-BE1C-08D757FCE136}.cmd

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
 

+ - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

[otonono 0]

Был использован скрипт №8, в чем проблема я не понимаю 

Изменено 17 мая, 2018 пользователем otonono

[regist 617]

@otonono, вы точно архив никак не перепаковывали? Сколько размер архива? Попробуйте ещё раз повторить процедуру.

 

и жду остальное.

[otonono 0]

Размер архива 75 кб, ничего с ним не делал, процедуру повторял несколько раз итог тот же
Выполнил все инструкции касперский троян не находит, но на машине память по-прежнему грузится(4 гб из 8 при запущеном хроме только)


KLAN-8082673420:

Re: [KLAN-8082673420]


Отnewvirusnewvirus@kaspersky.com
Кому

 

17 мая, 21:19

 
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
7z.dll
main.js
.jshintrc
package.json
abs.js
sqlite.js
factorial.js
bindings.js
callback.js
cif.js
cif_var.js
dynamic_library.js
errno.js
ffi.js
foreign_function.js
foreign_function_var.js
function.js
library.js
type.js
_foreign_function.js
bindings_0.js
package_0.json
_0.jshintrc
bower.json
browser.js
component.json
debug.js
node.js
package_1.json
index.js
package_2.json
include_dirs.js
package_3.json
1to2.js
package_4.json
package_5.json
compile.js
jquery-1.7.2.min.js
main_0.js
ref.js
address.js
alloc.js
bool.js
char.js
coerce.js
int64.js
iojs3issue.js
isNull.js
object.js
pointer.js
ref-deref.js
reinterpret.js
reinterpretUntilZeros.js
string.js
types.js
_1.jshintrc
package_6.json
struct.js
callback_0.js
cif_0.js
dynamic_library_0.js
errno_0.js
foreign_function_0.js
function_0.js
library_0.js
objc.js
types_0.js
variadic.js

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
        
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

 

Изменено 18 мая, 2018 пользователем regist
добавил спойлер

[regist 617]

Жду ещё

 

 

Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[otonono 0]

Вот отчёт

ClearLNK-2018.05.17_21.04.00.log

Изменено 17 мая, 2018 пользователем otonono

[regist 617]

А остальное?

[otonono 0]

Этого вы от меня ждете?

Этот пункт не совсем понятен

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

CollectionLog-2018.05.18-01.31.zip

Изменено 17 мая, 2018 пользователем otonono

[regist 617]

 

 

Этого вы от меня ждете?

Да его. Только скачайте Автологер по ссылке из правил и ещё раз переделайте логи.

[otonono 0]

Автологер был скачан из ссылки в правилах, залил скрипт в AVZ, комп релогнулся. Повторный фикс в HijackThis не возможен по причине отсутствия написанных выше пунктов. Логи повторены по правилам после запуска автологера получен

 

CollectionLog-2018.05.18-14.54.zip

[regist 617]

Скрипт и фикс переделывать не надо, только логи свежей версией, которая качается по ссылке из правил оформления запроса.

 

Скачайте актуальную версию автоматического сборщика логов,

У вас логи созданы другой версией. Удалите имеющиюся у вас (вместе с созданной им папкой), скачайте по этой ссылке и переделайте логи

[otonono 0]

Он?

Check_Browsers_LNK.log

[regist 617]

@otonono, повторюсь нужен CollectionLog, но только версией которая качается по ссылке из правил. В предыдущем посте дал вам прямую ссылку на скачивание. Скачайте, соберите этот архив с логами и прикрепите.

[otonono 0]

я прошу прощения, но, что происходит?

в папке ClearLnk он не создается

CollectionLog-2018.05.19-17.36.zip