Не могу удалить троян: trojan.multi.gen autorun bits.a

**Alkozelzer** · 16.01.2018, 00:14

Добрый день. При удалении одного из простеньких вирусов с рекламой на браузер, при углубленном сканировании был обнаружен trojan.multi.gen autorun bits.a, в system memory. Обнаружить его смогла только утилита Kaspersky Virus Removal Tool. Adw cleaner, AVZ, CurietIT ничего не находили. При этом утилита касперского смогла удалить троян только с третьего раза, без перезагрузки. С вариантом перезагрузка, утилита данный троян находила снова. По адресу C/Program Files был обнаружен странный файл Bits Administration tool.exe, который был незамедлительно удален. Так же в папке С/Пользователь/AppData были обнаружены странного вида файлы с расширением bat, которые так же были удалены, папка Temp вычищена. Проверена автозагрузка, все странное было удалено. Проверил реестр в ветке автозагрузки - тоже почистил. В планировщике задач была обнаружена задача с именем, состоящим из набора символов, которая должна запускать один из странных bat.файлов. Так же удалена.

После перечисленных выше действий в безопасном режиме прогонял комп всеми перечисленными выше утилитами, а так же malwarebytes и касперский free. Результаты проверки - без угроз. Но в планировщике задач опять создается задача трояна на запуск bat файла, а так же на долю секунды открывается командная строка. При удалении задачи, через час или 2 она появляется снова (временные интервалы всегда разные по субъективному ощущению) Пока не поставил malwarebytes, командная строка не пропадала, имеется скриншот. Так же есть скриншот задачи в планировщике (вряд ли понадобится).

Прошу помощи в удалении данной заразы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.01.2018, 00:16

Уважаемый(ая) Alkozelzer, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 17.01.2018, 21:55

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\Antoxa\AppData\Local\OXBI.bat', '');
 QuarantineFile('C:\Users\Antoxa\auOOIE.bat', '');
 QuarantineFileF('', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.', false, '', 0, 0);
 DeleteFile('C:\Users\Antoxa\AppData\Local\OXBI.bat', '32');
 DeleteFile('C:\Users\Antoxa\auOOIE.bat', '32');
 DeleteFile('C:\WINDOWS\System32\drivers\mracdrv.sys', '32');
 DeleteFile('C:\WINDOWS\System32\mracsvc.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "UninstallSMB1ClientTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UninstallSMB1ServerTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UyuEQRyAOY" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "YdJI" /F', 0, 15000, true);
 DeleteService('mracdrv');
 DeleteService('mracsvc');
 DeleteFileMask('C:\Users\Antoxa\AppData\Local', '*.exe, *.', false);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Alkozelzer** · 18.01.2018, 00:31

Карантин загрузил, отчеты FRST во вложении

**Vvvyg** · 18.01.2018, 07:08

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKU\S-1-5-21-1603804818-3159968432-1713803358-1000\...\MountPoints2: {be6dc6e3-d783-11e7-8977-806e6f6e6963} - "E:\Bin\Instv2.exe" 
U3 aswbdisk; no ImagePath
U3 idsvc; no ImagePath
U3 wpcsvc; no ImagePath
2018-01-07 19:55 - 2017-09-29 16:42 - 000001018 _____ C:\WINDOWS\ujSr
2018-01-07 19:55 - 2017-09-29 16:42 - 000000865 _____ C:\WINDOWS\AlBIhrgduDUgy
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Shortcut: C:\Users\Antoxa\Desktop\Ярлыки для программ\Игровой центр Mail.Ru.lnk -> C:\Users\Antoxa\AppData\Local\Mail.Ru\GameCenter\[email protected] (No File) <==== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Помощник по обновлению до Windows*10.lnk -> C:\Windows10Upgrade\Windows10UpgraderApp.exe (No File) <==== Cyrillic
HKU\S-1-5-21-1603804818-3159968432-1713803358-1000\...\StartupApproved\Run: => "Browser Manager"
HKU\S-1-5-21-1603804818-3159968432-1713803358-1000\...\StartupApproved\Run: => "GameCenterMailRu"
Reg: reg delete "HKU\S-1-5-21-1603804818-3159968432-1713803358-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\GameCenterMailRu" /f
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой. Если сохранилась - сделайте лог сканирования МВАМ.

**Alkozelzer** · 18.01.2018, 22:57

Насколько могу судить, проблема устранена - в планировщике новые задачи не появились, командная строка так же не выскакивает. Прикрепляю к архиву логи (сделал и FRST и прошелся MBAM. Огромное спасибо за помощь !!!

**Vvvyg** · 19.01.2018, 07:02

Удалите в MBAM:

Код:

PUP.Optional.DriverPack, C:\USERS\ANTOXA\APPDATA\LOCAL\MOZILLA\FIREFOX\PROFILES\26WPW1BK.DEFAULT\CACHE2\ENTRIES\C62B689B5C2F6FA213DC3813AD6D3F98BCB33762, Проигнорировано пользователем, [1936], [472296],1.0.3726

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 19.01.2018, 07:12

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Не могу удалить троян: trojan.multi.gen autorun bits.a (заявка № 217200)

Опции темы