Trojan.Multi.Accesstr.a в системной памяти не получается удалить

[Alaknar]

Появился сегодня утром. Вылечить не получается. Прошу помощи :с

Отчет

FRST.txt

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Alaknar]

Сделано.

CollectionLog-2018.09.01-00.05.zip

report1.log

report2.log

[regist]

А с интернетом у вас проблем нет? Стабильно работает?

"Пофиксите" в HijackThis:

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {7AFDFDDB-F914-11E4-8377-6C3BE50D980C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\AcronisSyncError: (no name) - {934BC6C0-FEC2-4df5-A100-961DE2C8A0ED} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\AcronisSyncInProgress: (no name) - {00F848DC-B1D4-4892-9C25-CAADC86A215D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\AcronisSyncOk: (no name) - {71573297-552E-46fc-BE3D-3DFAF88D47B7} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {7AFDFDDB-F914-11E4-8377-6C3BE50D980C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O22 - Task: DRPNPS - C:\WINDOWS\system32\SCHTASKS.exe /Delete /TN DRPNPS /F
O22 - Task: DRPNPS - C:\WINDOWS\system32\mshta.exe "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.39 Online" "1489347582158" "bd6bab38-fd8e-42fa-b742-968623064d2e"

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

+ пожалуйста, сделайте экспорт ветки реестра

HKLM\System\CurrentControlSet\Services\WinSock2

заархивируйте и прикрепите к сообщению.

[Alaknar]

А с интернетом у вас проблем нет? Стабильно работает?

"Пофиксите" в Hijack

 

Интернет нормально работает.

 

Почитала, но не совсем поняла, как сделать экспорт ветки реестра :>

FRST.txt

Addition.txt

HiJackThis.log

[regist]

 

 

Почитала, но не совсем поняла, как сделать экспорт ветки реестра :>

Запускаете regedit (он же редактор реестра), идете по пути HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2 , после правой клавишей (экспортировать)

 

 

"Пофиксите" в HijackThis:

не сделали .

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
  ShellIconOverlayIdentifiers: [ OneDrive1] -> {7AFDFDDB-F914-11E4-8377-6C3BE50D980C} =>  -> No File
  ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
  ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
  ShellIconOverlayIdentifiers: [ OneDrive4] -> {1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E} =>  -> No File
  ShellIconOverlayIdentifiers: [ OneDrive5] -> {82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E} =>  -> No File
  ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {7AFDFDDB-F914-11E4-8377-6C3BE50D980C} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
  ContextMenuHandlers1_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
  ContextMenuHandlers4_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
  ContextMenuHandlers5_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
  Task: {14E3B4C9-F643-4DD4-AAB2-FF6E9FE564A1} - System32\Tasks\{56515871-F6AA-4852-895A-5B3658C04480} => C:\windows\system32\pcalua.exe -a "C:\Users\Скргей\Downloads\Bongiovi Acoustics DPS Audio Enhancer 1.2.4 RePack by D!akov\DPSAudioEnhancer-1.2.4.exe" -d "C:\Users\Скргей\Downloads\Bongiovi Acoustics DPS Audio Enhancer 1.2.4 RePack by D!akov"
  Task: {4FE294E1-FF71-431D-8B20-E9EAC83A3FA2} - \Phoenix Browser Updater -> No File <==== ATTENTION
  Task: {7E012172-C715-4AB1-9B8A-F16C3D4B43B9} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.39 Online" "1489347582158" "bd6bab38-fd8e-42fa-b742-968623064d2e"
  Task: {7E012172-C715-4AB1-9B8A-F16C3D4B43B9} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
  Task: {BB8B63AF-A025-4AAC-BABE-629A251C46C6} - \Focusing Note -> No File <==== ATTENTION
  MSCONFIG\Services: AVP17.0.0 => 2
  MSCONFIG\Services: Updater.Mail.Ru => 2
  HKLM\...\StartupApproved\Run32: => "AVG_UI"
  HKLM\...\StartupApproved\Run32: => "DriverPack Notifier"
  FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
  FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll [No File]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[Alaknar]

 

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

 

Вот.

1.rar

[regist]

1) деинсталируйте

bl [20151225]-->MsiExec.exe /I{2A075BB4-E976-4278-BF3F-E5C6945D84C0}
Google Update Helper [20180519]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Игровой центр [2018/05/27 06:43:11]-->"C:\Users\User\AppData\Local\GameCenter\GameCenter.exe" -uninstall

Unity Web Player - если сами не ставили, то тоже.

 

2)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[Alaknar]

1) деинсталируйте

 

2)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

 

 

 

Все сделала. 

AdwCleanerS00.txt

[regist]

• Запустите повторно AdwCleaner (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать")
• По окончанию сканирования снимите галочки со следующих строк:
  

  PUP.Optional.Legacy             C:\Program Files (x86)\Common Files\freemake shared

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Alaknar]

 

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

AdwCleanerC02.txt

AdwCleanerS02.txt

[regist]

1) Соберите свежие логи по правилам Автологером.

 

2) Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.
 

[Alaknar]

1) Соберите свежие логи по правилам Автологером.

 

2) Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

 

 

При открытии 2 скрипта после нажатия enter невозможно ничего запустить: пишется благодарность, а потом окно само закрывается :с

CollectionLog-2018.09.02-16.37.zip

Изменено 2 сентября, 2018 пользователем Alaknar

[regist]

При открытии 2 скрипта после нажатия enter невозможно ничего запустить: пишется благодарность, а потом окно само закрывается :с

случаем во время выполнения этого скрипта лога Автологером не собирались? Или может какие-то другие утилиты лечения работали? Просто хочется понять почему не отработало. Автору скрипта о проблеме сообщил.

Пока попробуйте так:

 

 

• Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
• • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
  • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)

   

• Введите sfc /scannow и нажмите Энтер.
• Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
• После того как закончится проверка в командной строке введите команду:

  findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt

• После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

Изменено 2 сентября, 2018 пользователем regist

[Alaknar]

• • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
  • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)

   

• Введите sfc /scannow и нажмите Энтер.
• Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

 

 

У меня моноблок самсунговский, дисковода нет. Через пуск после ввода скрипта окно открывается на две секунды, затем сразу же закрывается. Даже прочитать текст невозможно.