[РЕШЕНО] Прошу помочь удалить вирус trojan.multi.genautoruntask.c в системной памяти.

[Sandor]

+

Это файл

Цитата

C:\savesref\System.vbe

вам известен?

[Рамиль34]

Только что, Sandor сказал:

+

Это файл

вам известен?

Нет не известен. Удалить?

[Sandor]

9 минут назад, Sandor сказал:

NetShield Kit 1.3.30.0 по-прежнему в перечне установленных.

Если не удаляется стандартно, удалите принудительно через Geek Uninstaller

Это удалили?

[Рамиль34]

6 минут назад, Sandor сказал:

Это удалили?

Да.

[Sandor]

Давайте ещё раз новые логи FRST.txt и Addition.txt, предварительно удалите старые.

[Рамиль34]

27 минут назад, Sandor сказал:

Давайте ещё раз новые логи FRST.txt и Addition.txt, предварительно удалите старые.

 

FRST.txt Addition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  ShortcutTarget: System.lnk -> C:\savesref\System.vbe () [File not signed]
  GroupPolicy: Restriction - Windows Defender <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  Folder: C:\savesref\
  C:\savesref\System.vbe
  Zip: c:\FRST\Quarantine\
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
• На рабочем столе появится архив Date_Time.zip (Дата_Время). Его тоже прикрепите.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Рамиль34]

29 минут назад, Sandor сказал:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  
  
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  ShortcutTarget: System.lnk -> C:\savesref\System.vbe () [File not signed]
  GroupPolicy: Restriction - Windows Defender <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  Folder: C:\savesref\
  C:\savesref\System.vbe
  Zip: c:\FRST\Quarantine\
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
• На рабочем столе появится архив Date_Time.zip (Дата_Время). Его тоже прикрепите.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Сделал как вы сказали. Появился еще один троян. скрин во вложении.

Fixlog.txt 11.02.2021_11.33.56.zip

[Sandor]

Что происходит при нажатии кнопок "Устранить" в антивирусе?

[Рамиль34]

8 минут назад, Sandor сказал:

Что происходит при нажатии кнопок "Устранить" в антивирусе?

Предлагает лечить с перезагрузкой. Потом происходит лечение активного заражения, доходит до 100%. комп перезагружается и все, потом опять появляется этот троян.

 

Изменено 11 февраля, 2021 пользователем Рамиль34

[Sandor]

Понимаю, что так было. Сейчас вы это повторили с тем же результатом?

 

Проделайте ещё следующее:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[Рамиль34]

15 минут назад, Sandor сказал:

Проделайте ещё следующее:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Сделал.

DESKTOP-IMVEP3K_2021-02-11_12-13-24_v4.11.3.7z

[Sandor]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   ;---------command-block---------
   zoo %SystemDrive%\SAVESREF\SYSTEM.LNK
   delall %SystemDrive%\SAVESREF\SYSTEM.LNK
   delref %SystemDrive%\SAVESREF\SYSTEM.VBE
   delref %SystemDrive%\USERS\РАМИЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH\2.0.1.20_0\ПОИСК  ЯНДЕКСA
   delref %SystemDrive%\USERS\РАМИЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.15_0\СТАРТОВАЯ — ЯНДЕКС
   zoo %SystemDrive%\USERS\РАМИЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.LNK
   delall %SystemDrive%\USERS\РАМИЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.LNK
   delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIO-GUI.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
   apply
   
   deltmp
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве.

 

Очистите журналы антивируса и понаблюдайте.

Если повторится, обратите внимание запущен ли в это время браузер. Если да, какой?

[Рамиль34]

5 часов назад, Sandor сказал:

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   
   
   ;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   ;---------command-block---------
   zoo %SystemDrive%\SAVESREF\SYSTEM.LNK
   delall %SystemDrive%\SAVESREF\SYSTEM.LNK
   delref %SystemDrive%\SAVESREF\SYSTEM.VBE
   delref %SystemDrive%\USERS\РАМИЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH\2.0.1.20_0\ПОИСК  ЯНДЕКСA
   delref %SystemDrive%\USERS\РАМИЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.15_0\СТАРТОВАЯ — ЯНДЕКС
   zoo %SystemDrive%\USERS\РАМИЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.LNK
   delall %SystemDrive%\USERS\РАМИЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.LNK
   delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIO-GUI.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
   apply
   
   deltmp
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве.

 

Очистите журналы антивируса и понаблюдайте.

Если повторится, обратите внимание запущен ли в это время браузер. Если да, какой?

При загрузке, не открывая никаких программ. Сразу выдает что есть вирус. как тот скрин которые я ранее высылал.

Все сделал по вашей инструкции. Пока результата нет. Троян по прежнему находится Касперским.

 

Вчера так же сканировал компьютер прогой Доктор веб cureit. Он вообще ничего не нашел. Хотя из практики, выявляет и удаляет более качественно.

[Sandor]

1 час назад, Sandor сказал:

Очистите журналы антивируса

Это сделали?