Trojan.Multi.GenAutorunTask.c

**Valimar** · 28.12.2020, 20:25

Здравствуйте. Сегодня при включении компьютера Касперский выдал это: Обнаружено: Trojan.Multi.GenAutorunTask.c, Объект: Системная память.

Помогите убрать эту гадость.

Проверка Kaspersky Virus Removal Tool и Dr.Web CureIt!. результатов не дала.

Файл логов вот:

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.12.2020, 20:27

Уважаемый(ая) Valimar, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 28.12.2020, 20:59

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 QuarantineFile('C:\ProgramData\Windows\Profile\1.vbs', '');
 QuarantineFileF('C:\ProgramData\Windows\Profile', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true,'', 0, 0);
 DeleteFile('C:\ProgramData\Windows\Profile\1.vbs', '64');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteSchedulerTask('Driver Booster SkipUAC (Андрей)');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{d5b364a9-547a-410a-af5b-6aa16dd3f3e6}: [NameServer] = 139.60.163.48
O17 - HKLM\System\CCS\Services\Tcpip\..\{d5b364a9-547a-410a-af5b-6aa16dd3f3e6}: [NameServer] = 145.249.107.234
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Valimar** · 28.12.2020, 21:27

Проделал всё по инструкции выше.

**Vvvyg** · 29.12.2020, 07:49

Отключите временно антивирус.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof]
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj]
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd]
2020-12-03 18:05 - 2020-02-16 11:25 - 001133568 _____ C:\ProgramData\i7Nh5H9k7J8ht.tmp
2020-12-03 18:05 - 2020-02-16 11:25 - 000000071 _____ C:\ProgramData\iGytjjY67i.tmp
Unlock: C:\ProgramData\Windows
Unlock: C:\ProgramData\Windows\Profile
Folder: C:\ProgramData\Windows\Profile
C:\ProgramData\Windows\Profile
CMD: rd /S /Q "C:\ProgramData\Windows"
FirewallRules: [{AC55B0BD-64A7-4B68-B668-C429FD144FA2}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe (WaspAce) [File not signed]
FirewallRules: [{226A3CFA-6148-4096-B335-25D46494D021}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{531CC6E4-8C8E-444A-BD46-6239572A8904}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{224F408B-925E-481C-9B25-AB6D458DE48F}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe (WaspAce) [File not signed]
FirewallRules: [{7F418E2B-959B-4681-90F4-0D50EB776899}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{E1FA560D-E8DD-4A9B-AA4F-008877B18BF1}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{425B16E9-9D3F-4DBB-8720-237953B9A4C2}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe (WaspAce) [File not signed]
FirewallRules: [{C8F93EEC-DEAC-4D15-88F2-A496D3E2B171}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{0F17B863-76E8-4135-9A46-76A34E82E9B7}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{81F58B9C-67EF-405E-BCDF-FF7A27A99D91}] => (Allow) C:\ProgramData\Windows\Profile\winlogin.exe => No File
FirewallRules: [{AEE3BC67-9562-4DAF-A224-2B82212A03AA}] => (Allow) C:\ProgramData\Windows\Profile\host.exe => No File
FirewallRules: [{195E7C0D-6B9A-42D5-8602-FE3B2F8226F0}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{087DB7CA-E1F1-4E6B-B97B-F4D45BD813D7}] => (Block) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 20.0\avp.exe => No File
FirewallRules: [{787BA640-019E-41C8-AB77-9F76B7025D16}] => (Allow) C:\ProgramData\Windows\Profile\winlogin.exe => No File
FirewallRules: [{0B9629EC-1405-4600-8741-00BB18D77074}] => (Allow) C:\ProgramData\Windows\Profile\host.exe => No File
FirewallRules: [{CEC36B75-2DB2-406B-9B9A-CD5E5B08A6E2}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{6FEE4F28-CC8A-4596-80B7-626DDA902BC6}] => (Block) C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 20.0\avp.exe => No File
FirewallRules: [{755A32C5-A4D1-4EB3-B5C6-245FAF4C93E7}] => (Allow) D:\Program Files (x86)\IP Camera Viewer 4\IP Camera Viewer.exe => No File
FirewallRules: [{A60A340C-251E-4EEF-8ED1-64A91AFC2753}] => (Allow) D:\Program Files (x86)\IP Camera Viewer 4\IP Camera Viewer.exe => No File
FirewallRules: [{8C0A1FEF-D20D-4765-A80A-99A6AAB18064}] => (Allow) C:\Users\Андрей\AppData\Local\Amigo\Application\amigo.exe => No File
FirewallRules: [{61053F1B-4083-4B5E-AA43-7AF3F389864C}] => (Allow) D:\Program Files (x86)\Maxthon\Bin\Maxthon.exe => No File
FirewallRules: [{B5F1FF3B-2E15-4C90-96E0-BEF995FAD46C}] => (Allow) D:\Program Files (x86)\Maxthon\Bin\Maxthon.exe => No File
FirewallRules: [{52BB6F87-42D1-4D1B-9671-844BED0A779B}] => (Allow) D:\Program Files (x86)\Maxthon\Bin\MxUp.exe => No File
FirewallRules: [{C06B3CC0-C617-490A-A2EF-51349AB80BEC}] => (Allow) D:\Program Files (x86)\Maxthon\Bin\MxUp.exe => No File
FirewallRules: [{C2FC9C31-598C-4FB0-B780-3162415CB4E8}] => (Allow) D:\Program Files (x86)\ComboPlayer\comboplayer.exe => No File
FirewallRules: [{E77736FA-2175-4D8A-A7BB-6A767EDAC354}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{1E22D8EA-0AEC-4357-AF40-3C236C5E2B2F}] => (Allow) C:\ProgramData\Windows\Profile\host.exe => No File
FirewallRules: [{354D9593-5A51-4ED2-8024-A5FD7B34F632}] => (Allow) C:\ProgramData\Windows\Profile\winlogin.exe => No File
FirewallRules: [{B7532A7C-0958-49B4-B072-D282CFFB8958}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{B096996A-FF08-4CBD-AF38-8C6FAADE8020}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{C8A311E4-B94A-4647-A21A-75073D1DE4B0}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe (WaspAce) [File not signed]
FirewallRules: [{E37E198B-F748-43BB-99FE-0B1DEC89F8D7}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{A273D7B9-E335-4231-B0DA-9603211155FF}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{4F279F80-12B5-4764-9B38-CF36DD52413B}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe (WaspAce) [File not signed]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
ContextMenuHandlers4: [ICQLiteMenu] -> {73B24247-042E-4EF5-ADC2-42F62E6FD654} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:00A9B537 [278]
AlternateDataStreams: C:\ProgramData\TEMP:07C057F8 [140]
AlternateDataStreams: C:\ProgramData\TEMP:1D476AA6 [125]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\ProgramData\TEMP:50C6E01F [124]
AlternateDataStreams: C:\ProgramData\TEMP:58B4BF41 [125]
AlternateDataStreams: C:\ProgramData\TEMP:591267A3 [118]
AlternateDataStreams: C:\ProgramData\TEMP:80AC539F [119]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [133]
AlternateDataStreams: C:\ProgramData\TEMP:CE2F3DFA [140]
BHO-x32: XTTBPos00 Class -> {055FD26D-3A88-4e15-963D-DC8493744B1D} -> D:\Program Files (x86)\ICQToolbar\toolbaru.dll => No File
Toolbar: HKLM-x32 - ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Program Files (x86)\ICQToolbar\toolbaru.dll No File
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**Valimar** · 29.12.2020, 19:26

Добрый вечер. Выполнил. Касперский всё также висит красным значком и с указанной проблемой.

- - - - -Добавлено - - - - -

Прошу прощения, проблема исчезла.
Vvvyg, огромное спасибо за помощь!

**Vvvyg** · 29.12.2020, 21:10

Да, он показывает старые угрозы какое-то время.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Сделайте лог Malwarebytes AdwCleaner.

**Valimar** · 29.12.2020, 21:30

Всё проделал.

**Vvvyg** · 29.12.2020, 22:54

Удалите (в карантин) всё найденное в AdwCleaner.
отчёт AdwCleaner - файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.

**Valimar** · 30.12.2020, 16:29

Здравствуйте. Сделал, как сказали.

**Vvvyg** · 30.12.2020, 20:32

Очистите кеш и cookie:
в Хроме.
В Яндекс.Браузере удалите куки и кэш.

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

И всё на этом.

**Valimar** · 30.12.2020, 21:03

Vvvyg, спасибо Вам большое! Всех благ и с Наступающим Новым годом!

**Vvvyg** · 30.12.2020, 22:29

И Вас с наступающим!

**CyberHelper** · 30.12.2020, 22:39

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 3
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB

Trojan.Multi.GenAutorunTask.c (заявка № 226148)

Опции темы