Не удаляется Trojan.Multi.GenAutorunTask.a

@Tatyann · Регистрация: 07.12.2017

Author24 — интернет-сервис помощи студентам

Здравствуйте!

Проблема следующая: Kaspersky Endpoint Security 10 обнаруживает Trojan.Multi.GenAutorunTask.a в System Memory. Предлагает лечить с перезагрузкой, по завершению лечения и перезагрузки Касперский снова обнаруживает этот троян.

Логи прикрепляю.

@Sandor · 07.12.2017, 11:53

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Tatyann. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player
Амиго
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Anna\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\Anna\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 DeleteFile('C:\Users\Anna\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\Anna\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@Tatyann · 08.12.2017, 06:19 **[ТС]**

Готово

@Sandor · 08.12.2017, 10:22

Подготовьте и прикрепите лог сканирования AdwCleaner.

@Tatyann · 08.12.2017, 10:31 **[ТС]**

лог

@Sandor · 08.12.2017, 10:34

1.

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Tatyann · 08.12.2017, 10:52 **[ТС]**

сделано

@Sandor · 08.12.2017, 11:00

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-4166135169-3971202431-2235799921-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2AD2D618-0473-4652-B952-BF8330BEE304%7D&gp=855500
SearchScopes: HKU\S-1-5-21-4166135169-3971202431-2235799921-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://customsearch24.ru/?ri=1&uid=22050713&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4166135169-3971202431-2235799921-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://customsearch24.ru/?ri=1&uid=22050713&q=
SearchScopes: HKU\S-1-5-21-4166135169-3971202431-2235799921-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2AD2D618-0473-4652-B952-BF8330BEE304%7D&gp=855500
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=822358
FF Extension: (No Name) - C:\Users\Anna\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-03-24] [not signed]
FF Extension: (No Name) - C:\Users\Anna\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2017-03-24] [not signed]
FF Extension: (supermegabest) - C:\Users\Anna\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-23] [Lagacy]
FF Extension: (No Name) - C:\Users\Anna\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-03-24] [not signed]
FF Extension: (No Name) - C:\Users\Anna\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2017-03-24] [not signed]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-04-05] [Lagacy]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-04-05] [Lagacy]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-04-05] [Lagacy]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=855100"
C:\Users\Anna\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb
2017-12-06 12:24 - 2017-12-08 08:06 - 000000000 ____D C:\Users\Anna\AppData\Roaming\curl
2017-12-06 12:23 - 2017-12-06 12:23 - 000003638 _____ C:\Windows\System32\Tasks\runtombroker
ContextMenuHandlers1-x32: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
Task: {13BADBCF-637B-4ECF-85B9-03F7A4403A18} - System32\Tasks\space(title, t_delayed) => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe
Task: {843C9859-D49A-4665-A2C5-5A5610DAE6DB} - \{787E0A47-7904-7E0B-0F11-0F080C7D117F} -> No File <==== ATTENTION
Task: {CDE1F92D-B792-41D0-ACE2-B3EA70E3DC74} - System32\Tasks\runtombroker => C:\Users\Anna\AppData\Local\runtombroker\runtombroker.exe <==== ATTENTION
Task: {D04FEB38-8A1D-4E59-9940-9896B9FE53D9} - System32\Tasks\space(title, t_monitor) => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe
Task: {E84CDFED-BB3B-4FF1-B11B-A99599EAABAA} - System32\Tasks\Uninstaller_SkipUac_Anna => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
HKU\S-1-5-21-4166135169-3971202431-2235799921-1000\Software\Classes\.scr: scrfile =>  <==== ATTENTION
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Tatyann · 08.12.2017, 11:13 **[ТС]**

выдал ошибку, но какой-то лог создал

@Sandor · 08.12.2017, 11:21

Спасибо за скриншот, передал разработчику.

Что с проблемой?

@Tatyann · 08.12.2017, 15:02 **[ТС]**

Вирус больше не обнаруживается. Вероятно, проблема решена. Спасибо за помощь и оперативность

@Sandor · 08.12.2017, 15:12

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Tatyann · 11.12.2017, 06:45 **[ТС]**

Лог SecurityCheck

@Sandor · 11.12.2017, 09:42

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.4.0.50401.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.44294 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 20 ActiveX v.20.0.0.306 Внимание! Скачать обновления
Adobe Flash Player 18 NPAPI v.18.0.0.209 Внимание! Скачать обновления
Adobe Acrobat XI Pro v.11.0.19 Внимание! Скачать обновления
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.

Рекомендации после удаления вредоносного ПО

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	07.12.2017, 11:53	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Tatyann. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: Unity Web Player Амиго Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Anna\AppData\Roaming\curl\curl.exe', ''); QuarantineFile('C:\Users\Anna\AppData\Roaming\curl\curl_7_54.exe', ''); QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', ''); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true); DeleteFile('C:\Users\Anna\AppData\Roaming\curl\curl.exe', '32'); DeleteFile('C:\Users\Anna\AppData\Roaming\curl\curl_7_54.exe', '32'); DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(1); ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	08.12.2017, 10:22	4
	Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	08.12.2017, 10:34	6
	1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	08.12.2017, 11:21	10
	Спасибо за скриншот, передал разработчику. Что с проблемой? 0

@Tatyann 0 / 0 / 0 Регистрация: 07.12.2017 Сообщений: 7
	08.12.2017, 15:02 [ТС]	11
	Вирус больше не обнаруживается. Вероятно, проблема решена. Спасибо за помощь и оперативность 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	08.12.2017, 15:12	12
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21982 / 15762 / 3046 Регистрация: 08.10.2012 Сообщений: 64,069
	11.12.2017, 09:42	14
	------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Silverlight v.4.0.50401.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.0.44294 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 20 ActiveX v.20.0.0.306 Внимание! Скачать обновления Adobe Flash Player 18 NPAPI v.18.0.0.209 Внимание! Скачать обновления Adobe Acrobat XI Pro v.11.0.19 Внимание! Скачать обновления ----------------------------- [ EmailClient ] ----------------------------- Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. Рекомендации после удаления вредоносного ПО 0