Не удаляется троян

[Katerin_a754]

На протяжении нескольких дней, каждый раз, включая компьютер, антивирус Касперского находит вредоносную программу. Производит лечение. После лечения, компьютер перезагружается и выдает сообщение [Программа "\\?\GLOBALROOT\SystemRoot\System32\klhkum.dll" не предназначена для выполнения в Windows или содержит ошибку. Попробуйте установить программу еще раз с исходного установочного носителя либо обратитесь к системному администратору или поставщику программного обеспечения за поддержкой. Состояние ошибки 0xc0000022.]

 

После этого антивирус говорит, что все вылечено и удалено, но после включения компьютера на следующий день все повторяется снова. Этот вирус никуда не удаляется. По наблюдениям, на работе компьютера он вроде даже никак и не сказывается. Но Касперский за 75 руб в месяц никак его не может победить (интересно почему).

 

Помогите избавиться от этой гадости раз и навсегда!!!

CollectionLog-2018.12.04-20.01.zip

Изменено 4 декабря, 2018 пользователем Katerin_a754

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[regist]

 

 

Но Касперский за 75 руб в месяц никак его не может победить (интересно почему).

тут больше было интересно почему он выбивает ошибку при лечение

 

 

[Программа "\\?\GLOBALROOT\SystemRoot\System32\klhkum.dll" не предназначена для выполнения в Windows или содержит ошибку.

при том что это вроде одна из его библиотек. Но заглянув в логи сразу становится видно

 

Avast Free Antivirus [2018/11/22 20:09:01]-->C:\Program Files\AVAST Software\Avast\Setup\Instup.exe /control_panel
Kaspersky Anti-Virus [2018/10/15 09:01:55]-->MsiExec.exe /I{5AAE61FF-858E-453E-B8F3-944618149975} REMOVE=ALL
Kaspersky Anti-Virus [20181023]-->MsiExec.exe /I{5AAE61FF-858E-453E-B8F3-944618149975}
Kaspersky Secure Connection [2018/10/15 09:01:55]-->MsiExec.exe /I{F33C0717-8E04-4EB5-90C8-47221287DB4F} REMOVE=ALL
Kaspersky Secure Connection [20181010]-->MsiExec.exe /I{F33C0717-8E04-4EB5-90C8-47221287DB4F}
McAfee Security Scan Plus [2018/10/15 09:01:51]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"

Больше не всегда лучше. Антивирус должен быть только один, а то будет то что у вас и происходит - они друг другу мешают. В общем удаляйте лишнее и после этого переделайте логи.

+

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

[Sandor]

удаляйте лишнее

После штатного удаления воспользуйтесь соотв. утилитой для очистки хвостов:

Чистка системы после некорректного удаления антивируса.

Изменено 5 декабря, 2018 пользователем Sandor

[Katerin_a754]

 Анитивирус Avast и MCAfree, Scan Pluse удалила. Переделать логи - это еще раз сформировать zip файл протоколов логов?

 

Процедуру с программой AVZ провела, но zip файл собрался только со второго раза, в первый раз антивирусная утилита выдала [Access violation at adress 004041CC in module "avz.exe". Read of adress FFFFFFDD.] Плюс при загрузке на сайт zip файла virusinfo_auto_DESKTOP-SGMP70V сайт пишет 

413 Request Entity Too Large

nginx/1.14.0

И ничего туда не загружается в итоге.

 

Хвосты пока не чистила.

Изменено 5 декабря, 2018 пользователем Katerin_a754

[regist]

 

 

413 Request Entity Too Large nginx/1.14.0 И ничего туда не загружается в итоге.

да, похоже там сломалась загрузка. Попробуйте сюда загрузить.

 

 

Переделать логи - это еще раз сформировать zip файл протоколов логов?

да.

[Katerin_a754]

Файл AVZ загрузила, хвосты почистила

 

Сведения о файле:

 

Размер файла, байт: 37521021

MD5: 2895C4FFD9E1C159D77A261CECD55E8B

CollectionLog-2018.12.06-21.09.zip

Изменено 6 декабря, 2018 пользователем Katerin_a754

[regist]

@Katerin_a754,

1) Ещё раз пройдитесь утилитой для удаления хвостов Аваст (ибо его следы до сих пор остались).

2) "Пофиксите" в HijackThis:

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: Avast Emergency Update - C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe (file missing)
O22 - Task: HPEA3JOBS - C:\Program Files\HP\HP ePrint\hpeprint.exe /CheckJobs (file missing)
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1 (file missing)
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"
O23 - Service S3: AvastWscReporter - C:\Program Files\AVAST Software\Avast\wsc_proxy.exe /runassvc (file missing)

 

3) Что с проблемой?

[Katerin_a754]

Утилита удаления Аваста работать не хочет

 

В утилите  HijackThis нашла только одну строчку с Авастом, ее удалила

 

Сообщения от Касперского о трояне перестали появляться сразу после того, как я удалила Avast и MCAfree

CollectionLog-2018.12.07-17.23.zip

[regist]

Утилита удаления Аваста работать не хочет

в смысле не хочет? На скрине она у вас нормально запущена.

 

 

В утилите HijackThis нашла только одну строчку с Авастом, ее удалила

разумеется, потому что используете допотопную версию. Прочитайте внимательно инструкцию, где находится утилита.

[Katerin_a754]

В программе HijackThis нужно удалить (пофиксить) вот эти все строчки? (Я нашла, где новая версия  )

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

O22 - Task: Avast Emergency Update - C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe (file missing)
O22 - Task: HPEA3JOBS - C:\Program Files\HP\HP ePrint\hpeprint.exe /CheckJobs (file missing)
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1 (file missing)
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"
O23 - Service S3: AvastWscReporter - C:\Program Files\AVAST Software\Avast\wsc_proxy.exe /runassvc (file missing)

 

Я Avast с помощью этой утилиты уже удаляла, которая называется aswclear.exe, и эта утилита сама его нашла в системе и вроде удалила

А теперь утилита просит указать папку с авастом, чтобы ее удалить, а папки то как-бы и нет уже по идее

Изменено 7 декабря, 2018 пользователем Katerin_a754

[regist]

 

 

(пофиксить) вот эти все строчки?

да.

[Katerin_a754]

Все строчки пофиксила в программе, но одна почему-то не удалилась

CollectionLog-2018.12.10-09.51.zip

[regist]

1) Выполните скрипт в AVZ

begin
 SetServiceStart('AvastWscReporter', 4);
 DeleteService('AvastWscReporter');
 DeleteFile('C:\Program Files\AVAST Software\Avast\wsc_proxy.exe','64');
ExecuteSysClean;
RebootWindows(true);
end.

2) потом свежие логи.

[Katerin_a754]

Скрипт выполнила

CollectionLog-2018.12.10-20.31.zip