Помогите удалить trojan.multi.genautoruntask.b

[Владимир Бушуев]

Добрый день. Периодически в хроме открываются вкладки с рекламными сайтами (казино, ставки, сериалы и т.д.)

adwcleaner от malwarebytes удалить ничего не может. Kaspersky Rescue Disk находит trojan.multi.genautoruntask.b, но удалить не может.

Лог Autologger'a прилагаю

CollectionLog-2018.09.08-16.04.zip

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить

O17 - HKLM\System\CCS\Services\Tcpip\..\{27d337d8-19ab-48da-9d46-0a936a222f0f}: [NameServer] = 217.74.244.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{27d337d8-19ab-48da-9d46-0a936a222f0f}: [NameServer] = 217.74.244.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{aa0dc080-ce99-4623-a8e5-d3ebda5bdb31}: [NameServer] = 217.74.244.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{aa0dc080-ce99-4623-a8e5-d3ebda5bdb31}: [NameServer] = 217.74.244.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{bdac052d-d392-43bb-8c25-cd96eb8a69cd}: [NameServer] = 217.74.244.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{bdac052d-d392-43bb-8c25-cd96eb8a69cd}: [NameServer] = 217.74.244.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{e3932c79-2e3c-46a5-974b-f4251bb0242b}: [NameServer] = 83.149.24.243
O22 - Task: DESKTOP-7P6S9NJ-20702 - C:\Windows\SysWOW64\300271973.exe /i http://setmount.com/1973.ace /q
O22 - Task: GoogleUpdateService - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://relosoun.com

Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов:

8.8.8.8
8.8.4.4

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\SysWOW64\300271973.exe','');
 DeleteFile('C:\Windows\SysWOW64\300271973.exe','64');
 ExecuteFile('schtasks.exe', '/delete /TN "DESKTOP-7P6S9NJ-20702" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateService" /F', 0, 15000, true);
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Владимир Бушуев]

после выполнению скриптов файл quarantine.zip пуст. прикрепляю лог adwcleaner.

AdwCleanerS02.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

PUP.Optional.Banggood           banggood.com
PUP.Optional.Legacy             WebSearch

[Владимир Бушуев]

одну угрозу удалить не смог

AdwCleanerS03.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Владимир Бушуев]

прикрепляю

и второй

FRST.txt

Addition.txt

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_181\bin\ssv.dll => No File
  BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_181\bin\jp2ssv.dll => No File
  FF Plugin-x32: @java.com/DTPlugin,version=11.181.2 -> C:\Program Files (x86)\Java\jre1.8.0_181\bin\dtplugin\npDeployJava1.dll [No File]
  FF Plugin-x32: @java.com/JavaPlugin,version=11.181.2 -> C:\Program Files (x86)\Java\jre1.8.0_181\bin\plugin2\npjp2.dll [No File]
  Folder: C:\WINDOWS\system32\DAX2
  Folder: C:\WINDOWS\system32\DAX3
  File: C:\Users\Vladimir\AppData\Roaming\FreeLauncher-0.1.4.882.exe
  FirewallRules: [{AF026D96-2192-4459-AD4D-9187D853B591}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
  FirewallRules: [{FE5B23CC-C9BB-414C-AE7D-5CCF74A4525A}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
  FirewallRules: [{F2342B43-3832-4BA5-93AD-16BF65A38FDA}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
  FirewallRules: [{EBBD6A92-CBE9-40A1-904D-4EC5E5A43A8E}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
  FirewallRules: [{0C953384-94AD-4CB6-8A7B-47B6656DBE00}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
  FirewallRules: [{EA53E9B1-DD10-4E5A-849D-C87E7CDFB0D8}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{1DF65D2D-0A94-4805-AAA3-B271F9278741}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{DFDF895D-0B09-4AD5-9D46-EA35E1699292}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{A5B387C7-2FE8-4987-984D-BDAB86E1FE4E}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
  FirewallRules: [{23B50E48-B2C5-438D-A6FB-57EF7D8D8F04}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{9E567240-2180-4C0F-99AD-CEEB59099F95}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{E95CD3CB-59F5-42B7-86A8-6D3C0B6EC903}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{34F40A12-549B-49CE-ACB6-F4A2E0DA704E}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{717DE79F-6FE8-4031-97E7-B9084F367775}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
  FirewallRules: [{BFA40860-4DE3-4185-8C56-CD639B45BC75}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{0AFC33F8-171A-4FEC-B3EF-E1A576A4FCEB}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{3B083413-65BB-4061-A1FB-07C1B33686EE}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{F2206B81-7247-46DF-A9C5-1FD2E02ACE17}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
  FirewallRules: [{438160AE-6E25-4ECC-8636-0459737E531F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{C30A67E7-8AA8-44FB-A53E-AF23F981C680}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{81F9BA6A-900C-4919-801F-DEBD0B29A329}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
  FirewallRules: [{42817F9B-C7B3-440B-A589-E878ABD252A6}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{D9EBB13C-8AB9-4B63-AEA7-3F4C09A592EA}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{B670A9E7-163F-4979-A6F7-B5A275B162C4}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{6EC9A8D0-85DA-40EC-976D-7B6D834589B1}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{C4CA8F14-6184-4EC5-8CF3-9AEB36616ABC}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
  FirewallRules: [{2FA3FA2B-9419-438C-85B4-E9306E8474EB}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{623132EC-6025-4AB8-8A1A-36EED3F20C51}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{D3500D18-348F-4B0B-8207-7343727EE124}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
  FirewallRules: [{1FB63116-8289-4550-87B8-4C7288A76225}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{9EEB167E-D6A4-4E52-827E-C15B8AE2B46E}] => (Allow) C:\Windows\SysWOW64\svchost.exe
  FirewallRules: [{EA9DC698-924D-4D17-9408-B4D86F7CF1E3}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Владимир Бушуев]

готово

Fixlog.txt

[SQ]

Сообщите, что с проблемой?

[Владимир Бушуев]

Сообщите, что с проблемой?

 

Вот уже весь вечер всё чисто, KVRT нашел только это:

 

not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen

Файл: C:\Windows\SysWOW64\drivers\vdk0mjc1.sys

[SQ]

Это драйвера от AVZ.

Для исправления выполните следующее в AVZ:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.