Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите вылечить Trojan.Multi.GenAutorunTask.a (http://forum.oszone.net/showthread.php?t=338556)

Melanchol 05-01-2019 01:14 2849881
Помогите вылечить Trojan.Multi.GenAutorunTask.a
 
В течение месяца каждую неделю касперский лечит этот троян, но безрезультатно.

akok 05-01-2019 20:35 2850040
Начнем с логов
http://forum.oszone.net/thread-98169.html

Melanchol 07-01-2019 11:43 2850320
Сейчас запустила программу, все было ок до момента выполняется исследование системы. Программа не отвечает уже 15 минут. Что с этим делать?

Melanchol 07-01-2019 12:05 2850326
Вот

akok 07-01-2019 12:55 2850354
Цитата:
Цитата Melanchol
В течение месяца каждую неделю касперский лечит этот троян, но безрезультатно. »
Софт перед этим не устанавливаете? Когда в последний раз запускали полное сканирование? Покажите скрин срабатывания, или журнала антивируса

\Norton Security удалите остатки

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Electronic Arts\The Sims™ 3 Кино Каталог\Удалить The Sims™ 3 Кино Каталог.lnk"    -> ["C:\Program Files (x86)\InstallShield Installation Information\{D0087539-3C57-44E0-BEE7-D779D546CBE1}\Setup.exe"  =>> -runfromtemp -l<SELECTED_LANGUAGE>]
>>>  "C:\ProgramData\Intel\ExtremeGraphics\CUI\Resource\HD-графика Intel®.lnk"  -> ["C:\Windows\System32\igfxstarter.exe"]
>>>  "C:\ProgramData\Intel\ExtremeGraphics\CUI\Resource\Intel® HD Graphics.lnk"  -> ["C:\Windows\System32\GfxUI.ex
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Last.fm\UninsHs.exe','');
QuarantineFile('C:\ProgramData\KMSAutoS\KMSAuto Net.exe','');
  BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Sandor 08-01-2019 09:22 2850494
Цитата:
Цитата akok
\Norton Security удалите остатки »
Чистка системы после некорректного удаления антивируса.

Melanchol 11-01-2019 20:38 2851466
У меня случился успех и я смогла сделать все шаги, что удивительно. Файл quarantine.zip оформляю по форме, скоро прилетит

Sandor 12-01-2019 09:19 2851522
Цитата:
Цитата akok
Когда в последний раз запускали полное сканирование? Покажите скрин срабатывания, или журнала антивируса »
Еще это, пожалуйста.

Melanchol 12-01-2019 17:52 2851614
Сейчас запускаю новую полную проверку. Здесь последние данные

Melanchol 12-01-2019 20:02 2851658
Вложений: 1
Еще идет поиск руткитов и уязвимости. Если надо, то я и их отчеты скину

Sandor 12-01-2019 20:07 2851662
Это драйвер AVZ, не страшно.

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.

Melanchol 12-01-2019 21:32 2851690
Вложений: 1
вот

Sandor 12-01-2019 23:08 2851714
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    ;---------command-block---------
    delref %Sys32%\AUTOWORKPLACE.EXE
    delref <UNINSTALL>C:\WINDOWS\SYSTEM32\SPOONUNINSTALL-DBPOWERAMP.DAT
    delref &LT;UNINSTALL&GT;C:\WINDOWS\SYSTEM32\SPOONUNINSTALL-DBPOWERAMP.DAT
    delref %Sys32%\SPOONUNINSTALL.EXE
    delref %Sys32%\UNP\UNPCAMPAIGNMANAGER.EXE
    apply

    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Подробнее читайте в этом руководстве.

Melanchol 23-01-2019 10:36 2853934
Включаю касперского - сюрприз. На секунду выскочила проблема в виде любимого моего трояна (вместо таск уже рег) и моментально касперский "убрал" проблему. Я успела сфоткать на телефон, но проблема в туже секунду исчезла. Не понятный фокус с исчезновением. Что это было? Нужна ли фотография?

Sandor 23-01-2019 10:39 2853936
Цитата:
Цитата Melanchol
Нужна ли фотография? »
Покажите. А также:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Sandor 24-01-2019 13:29 2854264
Вы напрасно удалили все логи из темы. По крайней мере, до конца лечения они могут понадобиться.


Время: 11:55.

Время: 11:55.
© OSzone.net 2001-