не удаляется trojan.multi.genautorantask.b

[Рома Сафин]

Прогонял систему avz и kvrt, все удаляется кроме этого вируса, все делал в безопасном режиме, т.к. в нормальном при открытии папки с антивирусом сразу приостанавливается проводник, а ссылки на антивирусные сайты в опере приводит к ее закрытию. В общем нужна помощь, логи ниже.

CollectionLog-2019.01.25-15.27.zip

[akoK]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\uchih\AppData\Local\Temp\7zSDF95.tmp\N2080_FW_Upgrade_Tool_V003\GPCIDrv64.sys','');
 QuarantineFile('C:\Program Files (x86)\Common Files\YYkH.exe','');
 DeleteFile('C:\Program Files (x86)\Common Files\YYkH.exe','64');
 DeleteFile('C:\Users\uchih\AppData\Local\Temp\7zSDF95.tmp\N2080_FW_Upgrade_Tool_V003\GPCIDrv64.sys','64');
 DeleteSchedulerTask('{01F677F8-40FD-BA9F-B861-B4EE51A86B80}');
 DeleteService('GPCIDrv');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4-32 - HKLM\..\RunOnce: [{9A52CD82-6267-4CF3-AD3C-7714E51825AA}] = C:\WINDOWS\system32\cmd.exe /C start /D "C:\Users\uchih\AppData\Local\Temp" /B {9A52CD82-6267-4CF3-AD3C-7714E51825AA}.cmd
O4-32 - HKLM\..\RunOnce: [{E9718251-E17D-47E5-9BC8-3616140BC4AE}] = C:\Users\uchih\AppData\Local\Temp\{84A82499-42C4-4E6D-8243-49F8EF9C73D9}\{E9718251-E17D-47E5-9BC8-3616140BC4AE}.cmd  (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

[Рома Сафин]

ошибка: Undeclared identifier: 'DeleteSchedulerTask' в позиции 13.21 при выполнении первого скрипта

[akoK]

AVZ запускайте из папки автологера.

[Рома Сафин]

С касперского ответили что архив запаролен, у себя открываю, никакие пароли не требуются. KLAN-9508532754

Ниже архив после фикса

пробовал перепаковывать архив как просили, все также им не удается его распаковать, просят пароль.

CollectionLog-2019.01.25-16.22.zip

Изменено 25 января, 2019 пользователем Рома Сафин

[akoK]

Что с проблемой?

[Рома Сафин]

Честно, не знаю. Вроде как сейчас все процессы не зависают. В безопасном режиме каждый раз касперская утилка находила этот вирус, в нормальном режиме уже ничего не нашла. Единственное у меня по прежнему на всех файлах стоит атрибут только чтение, его убираешь, применяются настройки, тут же заходишь и опять только чтение галка стоит, раньше такого не было. Уже на всякий случай проверил групповую политику, там все норм, мой учетка типа админ.

[akoK]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Рома Сафин]

Вот

Addition.txt

FRST.txt

[akoK]

В безопасном режиме каждый раз касперская утилка находила этот вирус

На какой-то конкретный файл?

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  S0 58376672; system32\drivers\43509466.sys [X]
  Folder: C:\ProgramData\USOShared
  Folder: C:\ProgramData\USOPrivate
  Folder: C:\Users\Все пользователи\USOShared
  Folder: C:\Users\Все пользователи\USOPrivate
  HKLM\...\StartupApproved\Run32: => "Bonus.SSR.FR10"
  FirewallRules: [{D74B0C81-4C72-41D0-BE58-78C332AE9269}] => (Allow) C:\Users\uchih\AppData\Roaming\uTorrent\uTorrent.exe (BitTorrent Inc.)
  FirewallRules: [UDP Query User{253679AD-E89F-4629-B862-C9CD5AE45531}E:\games\crossout\launcher.exe] => (Allow) E:\games\crossout\launcher.exe No File
  FirewallRules: [TCP Query User{63004CC0-F1B6-4869-9AC9-D5F59478954A}E:\games\crossout\launcher.exe] => (Allow) E:\games\crossout\launcher.exe No File
  FirewallRules: [TCP Query User{BE03B261-8C82-4CAC-A287-1DE7F5803B85}C:\users\uchih\appdata\local\crossout\launcher.exe] => (Allow) C:\users\uchih\appdata\local\crossout\launcher.exe No File
  FirewallRules: [UDP Query User{25FDC875-3E6D-4044-9B9C-2B8EBB6EE904}C:\users\uchih\appdata\local\crossout\launcher.exe] => (Allow) C:\users\uchih\appdata\local\crossout\launcher.exe No File
  FirewallRules: [{AF7AFBCF-A12F-4F23-936A-8E5ABF0166F9}] => (Allow) Q:\Games\Armored Warfare\bin64\armoredwarfare.exe No File
  FirewallRules: [{155105B5-4A18-46D7-851A-9155F56807CE}] => (Allow) Q:\Games\Armored Warfare\bin64\armoredwarfare.exe No File
  FirewallRules: [TCP Query User{9ECDD277-7293-4C24-AC42-15E8800C62E2}C:\program files (x86)\amule\amule.exe] => (Allow) C:\program files (x86)\amule\amule.exe No File
  FirewallRules: [UDP Query User{E27D76B6-CCBD-4428-B816-C70FAF938D7A}C:\program files (x86)\amule\amule.exe] => (Allow) C:\program files (x86)\amule\amule.exe No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Рома Сафин]

Сделано

Если бы программа ругалась на какой то конкретный файл, я бы давно его руками удалил, вирус находился при проверке системной памяти, именно про поиске в безопасном режиме ОС, в нормально сейчас не находит. Но при включении пк сейчас на секунду появилась командная строка и что то произошло, даже не успел разглядеть и закрылась.

После этого сразу проверил систему еще раз утилитой, ничего не нашла.

Fixlog.txt

[Рома Сафин]

Если бы антивирус ругался на какой то конкретный файл я бы его без всяких антивирусов руками удалил, но он обнаруживался во время проверки системной памяти.

[Sandor]

он обнаруживался

Больше не обнаруживается?

[Рома Сафин]

 

он обнаруживался

Больше не обнаруживается?

 

не обнаруживается, но пару дней назад при включении пк на секунду сама открылась командная строчка, что то мелькнуло, и закрылась сама. Ранее такого не было, думаю это не нормально, да и не мог же вирус по итоге стереться сам, тем более из памяти.

[Sandor]

да и не мог же вирус по итоге стереться сам

Что значит "сам"? А все предыдущие шаги по-вашему были просто так?

 

на секунду сама открылась командная строчка

Последите. Если повторится, сообщите.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.