KES8 не может удалить Trojan.Multi.GenAutorunProc.a

[darkevelen 0]

Добрый день, будьте добры, помогите с решением проблемы, делал полную проверку - ничего не находит. А после загрузки ПК (при автоматической проверке важных областей) выходит сообщение о троянской программе, никакие действия к результатам не приводят.

Антивирус установлен Kaspersky Endpoint Security 8 с актуальными базами и включенным KSN

 

30.05.2018 10:23:02    Обнаружен вредоносный объект    Обнаружено: Trojan.Multi.GenAutorunProc.a    System Memory        

 

 

CollectionLog-2018.05.30-10.19.zip

[Sandor 1 253]

Здравствуйте!

 

Почему не обновляете антивирус до актуальной версии?

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[darkevelen 0]

Добрый день!

 

Антивирус не обновляли по принципу  "работает - не трогай". Но непременно доберемся до его обновления в ближайшее время.

 

Запрошенный лог во вложении.

AdwCleanerS00.txt

[Sandor 1 253]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и ремонт и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[darkevelen 0]

Здравствуйте!

 

После выполнения очистки и ремонта в adwcleaner и последующей перезагрузки - сообщение о вредоносном объекте не появилось. Я запустил принудительно проверку важных областей и кроме process hacker, установленного мной, ничего не было выявлено.

 

Отчёты прилагаю, продолжаю наблюдение.

AdwCleanerC01.txt

Addition.txt

FRST.txt

Изменено 5 июня, 2018 пользователем darkevelen

[Sandor 1 253]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  CHR HKU\S-1-5-21-704071959-191468249-1315174655-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  FF user.js: detected! => C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\i6nm7kw7.default\user.js [2017-06-30]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[darkevelen 0]

Сделано. Проблема второй день себя не проявляет. Наблюдаем.

Fixlog.txt

[Sandor 1 253]

Пока наблюдаете:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

3. Версию KES обновите.

[darkevelen 0]

Всё сделано.

SecurityCheck.txt

[Sandor 1 253]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.

WinRAR 4.20 бета 3 (32-разрядная) v.4.20.3 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 25 v.8.0.250 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^

 

 

Рекомендации после удаления вредоносного ПО

[darkevelen 0]

1. Запустили Windows Update - сейчас ставятся обновления.

2. UAC вернули на уровень по умолчанию

3. Picasa Удалили.

4. WinRAR Заменили на 7zip 18.05

5. Java 8 обновили до 172

 

Утром после загрузки сообщение об угрозе больше не появляется, но стало появляться в течении дня по нескольку раз. Всё тот-же Trojan.Multi.GenAutorunProc.a

[regist 617]

RemoteAdmin - ваш?

А также Ammy Admin.

 

+ Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
 

[darkevelen 0]

RemoteAdmin - ваш?

А также Ammy Admin.

 

+ Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

 

RemoteAdmin не наш.

Ammy - наш.

AutorunsVTchecker застрял на kl1.sys. До этого момента проверял файл за пару секунд, на этом застрял уже минут на 10.  Как понять завершил он работу или нет? Должен быть сформирован отчёт?

ОС обновили - установили все последние апдейты.

Изменено 9 июня, 2018 пользователем darkevelen

[regist 617]

 

 

AutorunsVTchecker застрял на kl1.sys. Как понять завершил он работу или нет?

подождите, сам продолжит работу. Когда закончит сообщит об этом.

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

 

 

RemoteAdmin не наш.

точней не RemoteAdmin, а Remote Office Manager либо LiteManager вам значит не знаком?

[darkevelen 0]

Готово.

Remote Office Manager и LiteManager не знакомы.

 

AutorunsVTchecker по прежнему висит. Пока отъеду на обед.

Malwarebytes.txt

Изменено 9 июня, 2018 пользователем darkevelen