Помогите удалить UDS: DangerousObject.Multi.Generic

[Dr.MxM]

Скачал keygen. Словил вирус.  KIS: "Обнаруженный объект (память процесса) не обработан;C:\Users\Максим\AppData\Local\Temp\RarSFX0\keygen-pr.exe;"

 

Вот архив

• Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt угрозу не обнаруживают

((

CollectionLog-2019.11.27-00.51.zip

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O9-32 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: &Связанные заметки OneNote - (no file)
O9-32 - Tools menu item: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: &Связанные заметки OneNote - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Dr.MxM]

Выполнил все указания

AdwCleanerS02.txt

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[Dr.MxM]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

PC-MXM_2019-11-27_18-09-06_v4.1.8.7z

[regist]

@Dr.MxM, очистите отчёты антивируса и проверьте проблему.

+

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.
 

[Dr.MxM]

@Dr.MxM, очистите отчёты антивируса и проверьте проблему.

+

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

 

Отчет очистил. Произвел полную проверку. Угроз не обнаружено. Вот логи

CBS.LOG

sfcdoc.log

[regist]

@Dr.MxM, почистим ещё мусор.

1) https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

Удалите хвосты McAfee, а также через кавремовер попробуйте удалить хвосты только от KIS18

 

2) Выполните скрипт uVS

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   BREG
   ;---------command-block---------
   delref %SystemDrive%\USERS\2BA0~1\APPDATA\LOCAL\TEMP\CHROME_BITS_11788_1274860615\8841DBF101CEDCCFD39E5458FED116D876DE9A5D45557362239ADE918821EAF1.CRXD
   delref E:\HISUITEDOWNLOADER.EXE
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref %SystemDrive%\USERS\2BA0~1\APPDATA\LOCAL\TEMP\RAR$EXA5940.6601\KERNELD.X64
   delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
   delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\X64\MCOUAS.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\X64\VSSBRIDGE64.EXE
   delref %SystemDrive%\PROGRAMDATA\KASPERSKY LAB\AVP18.0.0\BASES\AMSI\AMSI_PLUGIN32.DLL.166187709E6884EF59F827AA66FF716A
   delref %SystemDrive%\PROGRAMDATA\KASPERSKY LAB\AVP18.0.0\BASES\AMSI\AMSI_PLUGIN64.DLL.381461D2B997ADC8FF02991EB966A8B5
   delref %SystemDrive%\PROGRAM FILES (X86)\BIGNOX\BIGNOXVM\RT\NOXVMC.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\BIGNOX\BIGNOXVM\RT\NOXVMSVC.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\BIGNOX\BIGNOXVM\RT\VBOXPROXYSTUB.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\BIGNOX\BIGNOXVM\RT\X86\NOXVMC-X86.DLL
   delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\UPDMGR\63123~1.1\MCCOREPS.DLL
   apply
   
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может будет перезагружен.
   

Подробнее читайте в этом руководстве.
 

 

3) Во время сканирования батником были восстановлены файлы, для того чтобы убедиться что всё корректно восстановило запустите им проверку ещё раз и приложите свежие логи.

[Dr.MxM]

Кавремовер не обраружил KIS18. Свежие логи прикрепил.

Сообщение от модератора SQ

Удалено чрезмерное цитирование. Пожалуйста не цитируйте скрипты и фиксы, так как осложняет чтение ваших ответов/сообщений.

Выполнить_проверку_sfc_scannow.rar

[regist]

1) не надо заниматься оверквотингом, это нарушение правил форума.

 

2) Удалите файл

C:\Windows\Logs\CBS\CBS.log

и ещё раз запустите проверку батника и свежие логи приложите.

[Dr.MxM]

Вот новые логи

CBS.LOG

sfcdoc.log

[regist]

порядок.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Dr.MxM]

Доступ в интернет есть, но происходит ошибка

[thyrex]

Последнюю рекомендацию нужно выполнять в AVZ, а не в uVS

[Dr.MxM]

Большое спасибо за помощь