Не удаляется Trojan.Multi.GenAutorunTask.b

[Ariqun]

Помогите вылечить комп, пожалуйста! 

 

Скорее всего троян появился после скачивания программы FontLab, никакие танцы с бубнами не помогли.

CollectionLog-2018.12.27-10.24.zip

Изменено 27 декабря, 2018 пользователем Ariqun

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

+

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

• Запустите AVZ. (Находится в папке ...\Autologger\AVZ)
• Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
• В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
• Закачайте полученный архив, как описано на этой странице.
• Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

[Ariqun]

Сведения о файле:

Размер файла, байт: 60201984

MD5: 4C036FDFC68AF8EC0EA298753589E893

 

 

 

FRST.txt

Addition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
  CHR HomePage: Default -> hxxp://www.mail.ru/cnt/7821
  CHR StartupUrls: Default -> "hxxp://www.mail.ru/cnt/9516"
  CHR HKU\S-1-5-21-515892398-502682719-766573337-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
  2018-12-13 10:53 - 2018-12-13 10:53 - 000000000 ___DC C:\Users\myhom\AppData\Local\Fontlab
  2018-12-13 10:52 - 2018-12-13 10:52 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fontlab
  2018-12-13 10:51 - 2018-12-13 10:51 - 000000000 ___DC C:\Users\myhom\AppData\Roaming\Fontlab
  AlternateDataStreams: C:\Users\myhom:Heroes & Generals [38]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Ariqun]

После процедуры, удаления файлов отчетов Касперского и быстрой проверки, троян пропал. 

Спасибо огромное. Можно узнать где именно в файлах логов вы увидели проблемное место?

Fixlog.txt

[Sandor]

По скрипту видно.

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Ariqun]

Да, по скрипту и я вижу. Я думал, вы его сами написали, основываясь на логах. 

 

Он формируется автоматом в какой-то программе?

SecurityCheck.txt

[Sandor]

сами написали, основываясь на логах

Так и было. Не автоматом.

 

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления

FileZilla Client 3.30.0 v.3.30.0 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.5.44954 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

---------------------------- [ UnwantedApps ] -----------------------------

Игровой центр v.4.1454 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Рекомендации после удаления вредоносного ПО

[Ariqun]

Вот я и хотел узнать, где именно в логах вы увидели проблему. Интересно с чисто практической точки зрения, чтобы в случае чего попробовать в след. раз справиться своими силами.

 

SecurityCheck уже просмотрел, спасибо!

[Sandor]

Скрипт начинается и заканчивается командами с двоеточием. Между ними строки, которые так и выглядят в логах FRST.

[Ariqun]

Я понял. Еще раз спасибо!