Троян trojan.multi.genautoruntask.b

[Helga2048]

Здравствуйте. Касперский нашел троян trojan.multi.genautoruntask.b 
Что делать и как от него избавиться?

вот логи

CollectionLog-2019.02.02-23.14.zip

Изменено 2 февраля, 2019 пользователем Helga2048

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Helga2048]

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

Всё что нужно сделала 

Вот новые логи

CollectionLog-2019.02.03-00.23.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Helga2048]

готово

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

 

Desktop.zip

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
2019-02-02 01:42 - 2019-02-02 18:37 - 000000088 _____ () C:\Users\Пользователь\AppData\Local\Temp\6759c0ee7804b542f1f873c7a6d5721c.dll
2019-02-02 01:42 - 2019-02-02 01:42 - 000000180 _____ () C:\Users\Пользователь\AppData\Local\Temp\77a575add9465d78c606d381e5f202fb.dll
FirewallRules: [TCP Query User{D9E70310-0B30-4DA3-BC6E-86024F02F91E}C:\users\пользователь\appdata\local\gamecenter\gamecenter.exe] => (Block) C:\users\пользователь\appdata\local\gamecenter\gamecenter.exe No File
FirewallRules: [UDP Query User{7AFBA0CB-88BB-4E20-8652-228279A5ADC2}C:\users\пользователь\appdata\local\gamecenter\gamecenter.exe] => (Block) C:\users\пользователь\appdata\local\gamecenter\gamecenter.exe No File
FirewallRules: [{5D0692CF-FE33-4CFE-84FF-4D199CFB8CA8}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{0CA40D2A-5488-40EA-887E-42F26164C732}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Helga2048]

1. Выделите следующий код:

Start::
CreateRestorePoint:
2019-02-02 01:42 - 2019-02-02 18:37 - 000000088 _____ () C:\Users\Пользователь\AppData\Local\Temp\6759c0ee7804b542f1f873c7a6d5721c.dll
2019-02-02 01:42 - 2019-02-02 01:42 - 000000180 _____ () C:\Users\Пользователь\AppData\Local\Temp\77a575add9465d78c606d381e5f202fb.dll
FirewallRules: [TCP Query User{D9E70310-0B30-4DA3-BC6E-86024F02F91E}C:\users\пользователь\appdata\local\gamecenter\gamecenter.exe] => (Block) C:\users\пользователь\appdata\local\gamecenter\gamecenter.exe No File
FirewallRules: [UDP Query User{7AFBA0CB-88BB-4E20-8652-228279A5ADC2}C:\users\пользователь\appdata\local\gamecenter\gamecenter.exe] => (Block) C:\users\пользователь\appdata\local\gamecenter\gamecenter.exe No File
FirewallRules: [{5D0692CF-FE33-4CFE-84FF-4D199CFB8CA8}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{0CA40D2A-5488-40EA-887E-42F26164C732}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Fixlog.txt

[thyrex]

Не нужно заниматься полным цитирование выдаваемых Вам рекомендаций.

 

Что с проблемой?

[Helga2048]

Судя по всему проблема решена, антивирус больше не находит троян
Благодарю за помощь

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Helga2048]

Path starting: C:\Users\Пользователь\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Пользователь

VersionXML: 5.87is-31.01.2019

___________________________________________________________________________

 

Windows 10(6.3.16299) (x64) CoreSingleLanguage Версия: 1709 Lang: Russian(0419)

Дата установки ОС: 01.02.2019 17:24:09

Статус лицензии: Windows®, CoreSingleLanguage edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe

Системный диск: C: ФС: [NTFS] Емкость: [237.4 Гб] Занято: [92.8 Гб] Свободно: [144.6 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.904.16299.0

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Центр обновления Windows (wuauserv) - Служба остановлена

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2007 v.12.0.4518.1014

---------------------------- [ Antivirus_WMI ] ----------------------------

Windows Defender (выключен и обновлен)

Kaspersky Anti-Virus (выключен и устарел)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Защитника Windows (MpsSvc) - Служба работает

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Anti-Virus (выключен и устарел)

Windows Defender (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Anti-Virus v.19.0.0.1088

Kaspersky Secure Connection v.19.0.0.1088

Kaspersky Internet Security v.19.0.0.1088

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

Classic Shell v.4.3.1 Данная программа больше не поддерживается разработчиком.

Steam v.2.10.91.91

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.40 v.7.40.104 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent 3.5.1 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 32 PPAPI v.32.0.0.114

Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Google Chrome v.71.0.3578.98 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

Yandex (All Users) v.19.1.0.2644

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 19.0.0 (AVP19.0.0) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 19.0.0\avp.exe v.19.0.0.1088

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 19.0.0\avpui.exe v.19.0.0.1088

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 3.0\ksde.exe v.19.0.0.1088

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 3.0\ksdeui.exe v.19.0.0.1088

C:\Program Files\Windows Defender\MSASCuiL.exe v.4.12.16299.15

Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена

----------------------------- [ End of Log ] ------------------------------

[thyrex]

Выполните рекомендованное, и на этом закончим.