Помогите удалить Trojan.Multi.GenAutorunReg.a

[КонТар]

Здравствуйте!
Что только уже не перепробовал(
Касперский постоянно находит и не справляется...

[Info_bot]

Уважаемый(ая) КонТар, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Sandor]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 12
Driver Booster 6
IObit Uninstaller 8
Smart Defrag 6

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

[КонТар]

Через панель удалить не получалось - помог как раз IObit Uninstaller,который потом удалился и через Панель)
Отчёт прилагаю.....А пытаться "Очистить и Восстановить" в Клинере надо или только отчёт вам надо?

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[КонТар]

Требуемые файлы:

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  BHO: No Name -> {03993315-5CE9-4F00-8790-D14A94F1D91A} -> No File
  BHO-x32: No Name -> {03993315-5CE9-4F00-8790-D14A94F1D91A} -> No File
  BHO-x32: No Name -> {FFCB3198-32F3-4E8B-9539-4324694ED664} -> No File
  Toolbar: HKLM - No Name - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} -  No File
  Toolbar: HKLM-x32 - No Name - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} -  No File
  FF user.js: detected! => C:\Users\KonT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2018-07-16]
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\KonT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2019-07-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
  FF Extension: (Поиск Mail.Ru) - C:\Users\KonT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2019-07-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json]
  FF Extension: (Визуальные закладки) - C:\Users\KonT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2019-07-02] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/ff_pult/update.json]
  CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=812204
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=812204","hxxps://mail.ru/cnt/10445?gp=811570"
  C:\Users\KonT\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbmegnmpleoagolcnjnejdacakedpcgd
  CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
  S2 AdvancedSystemCareService12; C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe [X]
  2019-07-05 10:57 - 2016-03-03 12:04 - 000000000 ____D C:\Users\KonT\AppData\LocalLow\IObit
  2019-07-05 10:57 - 2016-03-03 12:03 - 000000000 ____D C:\Users\KonT\AppData\Roaming\IObit
  2019-07-05 10:57 - 2016-03-03 12:03 - 000000000 ____D C:\ProgramData\IObit
  2019-07-05 10:57 - 2016-03-03 12:03 - 000000000 ____D C:\Program Files (x86)\IObit
  2018-02-14 17:26 C:\ProgramData\KRB Updater Utility
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll -> No File
  ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\WINDOWS\System32\IObitSmartDefragExtension.dll [2016-03-25] (IObit Information Technology -> IObit)
  ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll -> No File
  ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => C:\Program Files (x86)\IObit\IObit Uninstaller\IUMenuRight.dll -> No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[КонТар]

Fixlog...

[Sandor]

Что сейчас с проблемой?

[КонТар]

Да вроде всё нормально...Касперский и Система ругаться перестали) Большое спасибо!
А программы от IObit можно обратно ставить? Привык к ним....да и не с ними вроде(практически уверен) подхватил этого злополучного Трояна...

[Sandor]

программы от IObit можно обратно ставить?

Относятся к нежелательному ПО и очень часто вызывают проблемы. Впрочем, как хотите. Но сначала завершающие шаги:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
До этого:
2.
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера.