[РЕШЕНО] Прошу помочь удалить вирус trojan.multi.genautoruntask.c в системной памяти.

[regist]

Соберите заново свежий лог uVS. На время сбора логов антивирус отключите, а вирус не удаляйте (чтобы засветился в логе). На всякий случай советую на это время отключить и интернет.

[Рамиль34]

  В 12.02.2021 в 21:08, regist сказал:

Соберите заново свежий лог uVS. На время сбора логов антивирус отключите, а вирус не удаляйте (чтобы засветился в логе). На всякий случай советую на это время отключить и интернет.

Показать  

Добрый день. Все во вложении.

FRST.txtПолучение информации... Addition.txtПолучение информации... DESKTOP-IMVEP3K_2021-02-15_08-13-24_v4.11.3.7zПолучение информации...

[regist]

Selectel Network - ваш провайдер?

Соберите ещё свежие логи Автологером, как указано в правилах раздела.

+ дополнительно

 

Скачайте, распакуйте и запустите GetSystemInfo (GSI). Прочтите и согласитесь с лицензионным соглашением программы нажав кнопку Accept. Нажмите на кнопку старта в правой части окна утилиты (приблизительное время сбора отчета составляет 10 минут). После окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.
Подробнее читайте в руководстве.

 

 

+ Перед тем как собирать свежие логи поменяйте в настройках роутера [DhcpNameServer] 192.168.0.1 - на DNS вашего провайдера.

 

[Рамиль34]

  В 15.02.2021 в 09:37, regist сказал:

Selectel Network - ваш провайдер?

Показать  

Нет, у меня Ростелеком.

 

  В 15.02.2021 в 09:39, regist сказал:

Перед тем как собирать свежие логи поменяйте в настройках роутера [DhcpNameServer] 192.168.0.1 - на DNS вашего провайдера.

Показать  

Честно сказать роутер у меня  так же от Ростелекома. И где менять эти настройки я не знаю. Сейчас посмотрю на роутере написан ли его адрес.

[Sandor]

Смотрите договор с провайдером, там должно быть это указано.

[Рамиль34]

  В 15.02.2021 в 09:37, regist сказал:

Скачайте, распакуйте и запустите GetSystemInfo (GSI). Прочтите и согласитесь с лицензионным соглашением программы нажав кнопку Accept. Нажмите на кнопку старта в правой части окна утилиты (приблизительное время сбора отчета составляет 10 минут). После окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.

Показать  

https://www.getsysteminfo.com/report/ed106c257dc43c6d8dc411dc351f17b5

 

  В 15.02.2021 в 09:37, regist сказал:

Соберите ещё свежие логи Автологером, как указано в правилах раздела.

Показать  

 

CollectionLog-2021.02.15-14.24.zipПолучение информации...

[regist]

  В 15.02.2021 в 10:35, Sandor сказал:

Смотрите договор с провайдером, там должно быть это указано.

Показать  

Если в договоре не написано, то позвоните к ним тех. поддержку. Также если не знаете как изменить адрес, то можете попросить помочь и с этим.

После того как это сделаете

"Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [SearchList] = localdomain

И соберите свежие логи Автологером.

 

+ Путь к папке документы сами изменили?

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal = C:\Documents
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Personal = %SystemDrive%\Documents

 

Изменено 15 февраля, 2021 пользователем regist

[Рамиль34]

  В 15.02.2021 в 15:36, regist сказал:

Если в договоре не написано, то позвоните к ним тех. поддержку. Также если не знаете как изменить адрес, то можете попросить помочь и с этим.

Показать  

Добрый день. Попытался я поменять ДНС, но интернет отвалился. Прикладываю скрин.

 

Так же сегодня антивирус попрежнему находит вирус. При лечении без перезагрузки удаляет несколько троянов. отчет касперского прикладываю.

отчет Касперского.txtПолучение информации...

Изменено 17 февраля, 2021 пользователем Рамиль34

[regist]

  В 15.02.2021 в 15:36, regist сказал:

+ Путь к папке документы сами изменили?

Показать  

Почему игнорируете?

 

По поводу скрина настройка роутера к данному разделу никак не относится. Можете позвонить в тех. поддержку провайдера и попросить помочь вам его настроить, по идее должны и удалённо от себя это сделать.

Либо попросить помощи в соседнем разделе: Компьютерная помощь.

[Рамиль34]

  В 17.02.2021 в 06:51, regist сказал:

Почему игнорируете?

Показать  

Нет, ничего я не менял.

 

  В 17.02.2021 в 06:54, regist сказал:

По поводу скрина настройка роутера к данному разделу никак не относится. Можете позвонить в тех. поддержку провайдера и попросить помочь вам его настроить, по идее должны и удалённо от себя это сделать.

Либо попросить помощи в соседнем разделе: Компьютерная помощь.

Показать  

Сейчас разговаривал с тех.поддержкой ростеклекома, они говорят что ДНС адреса у них присваиваются автоматически и возможности их менять нет ни на их стороне ни у меня в роутере. Как быть?

Изменено 17 февраля, 2021 пользователем Рамиль34

[regist]

Они явно вас не поняли, либо как часто бывает не повезло с оператором.

Скажите, что вам вирус подменил DNS на троянские и вам надо вручную прописать в роутере их DNS.

[Рамиль34]

  В 17.02.2021 в 07:48, regist сказал:

Они явно вас не поняли, либо как часто бывает не повезло с оператором.

Скажите, что вам вирус подменил DNS на троянские и вам надо вручную прописать в роутере их DNS.

Показать  

Еще раз пообщался с техподдержкой Ростелеком. Сказал прям как вы написали что вирус подменил ДНС. Они говорят что у них ДНС автоматический и меняется при каждой сессии. И тем более что у меня роутер так же Ростелекомовский, и у них в прошивке так же заложен автоматический ДНС. Ничего поменять они не могут. Говорят что даже если вирус что-то поменяет, то у меня не будет интернета. Но через час предположим, ДНС снова изменится автоматически и все заработает.

[regist]

Значит "повезло" с оператором. Создайте тему в соседнем разделе и попросите помочь  с настройка роутера. Там возможно на вкладке WAN надо настроить.

[Рамиль34]

  В 17.02.2021 в 08:28, regist сказал:

Значит "повезло" с оператором. Создайте тему в соседнем разделе и попросите помочь  с настройка роутера. Там возможно на вкладке WAN надо настроить.

Показать  

Создал 

 

 

  В 15.02.2021 в 15:36, regist сказал:

"Пофиксите" в HijackThis:

Показать  

 

  В 15.02.2021 в 15:36, regist сказал:

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal = C:\Documents O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Personal = %SystemDrive%\Documents

Показать  

Это тоже надо было фиксить?

HiJackThis.logПолучение информации...

[regist]

Раз сами не переназначали, то тогда да.

Пофиксьте в Хиджак

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal = C:\Documents
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Personal = %SystemDrive%\Documents
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)

Затем сделайте такой лог

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.11 [http://dsrt.dyndns.org]
   v400c
   
   adddir %SystemDrive%\PROGRAMDATA
   crimg
   

6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению.

Подробнее читайте в этом руководстве.