Перейти к содержанию

KIS при сканировании памяти находит trojan.multi.wmirun.a


Рекомендуемые сообщения

Добрый день.

KIS и KVRT при сканировании памяти находят вирус trojan.multi.wmirun.a

Вирус добавляет в ярлыки браузеров IE и Chrome ссылку на удалено

Говорят, что успешно лечат его. Но после перезагрузки все повторяется.

AdwCleaner тоже находит эти ссылки. Удаляет. Но до перезагрузки.

ПК новый. Win 10. Только установил Хром и увидел эту проблему. Программ стоит минимум. Сомнительных нет.

Спасибо.

CollectionLog-2017.05.17-17.16.zip

Изменено пользователем regist
вирусная ссылка
Ссылка на сообщение
Поделиться на другие сайты

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

 

Добрый день.

Логи во вложении.

Поскольку AdwCleaner после работы ClearLNK ошибок не выдал, то вложил еще и вчерашний отчет с ошибками. 

ClearLNK-18.05.2017_10-55.log

AdwCleanerS7.txt

AdwCleanerS5.txt

AdwCleanerC6.txt

Ссылка на сообщение
Поделиться на другие сайты

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  • Подробнее читайте в руководстве Как подготовить лог UVS.
Ссылка на сообщение
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    delref %SystemDrive%\USERS\VERA\APPDATA\LOCAL\TEMP\CHROME_BITS_4340_27072\11_WIN_FILETYPEPOLICIES.CRX
    zoo %SystemDrive%\USERS\VERA\APPDATA\LOCAL\TEMP\{3EE64216-CC3F-4969-9456-AC1B3E4D2081}-GOOGLEUPDATESETUP.EXE
    delall %SystemDrive%\USERS\VERA\APPDATA\LOCAL\TEMP\{3EE64216-CC3F-4969-9456-AC1B3E4D2081}-GOOGLEUPDATESETUP.EXE
    delref %SystemDrive%\USERS\VERA\APPDATA\LOCAL\TEMP\CHROME_BITS_3148_1527\EXTENSION_1_4_8_903.CRX
    delref %SystemDrive%\USERS\VERA\APPDATA\LOCAL\TEMP\CHROME_BITS_1036_1270\EXTENSION_1_4_8_903.CRX
    delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID]
    delref {5AA199A0-1CED-43A5-9B85-3226086738A3}\[CLSID]
    delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
    delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
    delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref %Sys32%\DRIVERS\BTHLEENUM.SYS
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    czoo
    restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

что с проблемой?

Ссылка на сообщение
Поделиться на другие сайты

 

 


Проблема осталась.
И по прежнему в ярлыки параметры дописываются?

Опишите подробней какие проблемы остались?

Ссылка на сообщение
Поделиться на другие сайты

Проблема осталась такая же, как описана в первом сообщении. В ярлыки дописывается параметры. KIS при сканировании памяти находит вирус trojan.multi.wmirun.a. Вроде бы лечит ее, но это помогает только до перезагрузки. Более того, если не выключать ПК некоторое время, то вирус даже после лечения через какой-то промежуток опять появляется в памяти.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Доброе утро.

Результат сканирования Malwarebytes... во вложении.

Сегодня после перезагрузки ярлык Chrome на рабочем столе перестал быть ярлыком (т.е. он остался на столе, но теперь никуда не ссылается).

KIS при сканировании памяти все еще находит вирус trojan.multi.wmirun.a

scan1.txt

Ссылка на сообщение
Поделиться на другие сайты

1) Поместите карантин MBAM найденное.

 

2) Закройте все остальные программы. Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему.  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, , File.Karelia).
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • bombezne
      От bombezne
      Добрый день!
      Помогите удалить троянца Trojan.Multi.WMIRun.a. KES 10 видит, что он сидит в System Memory, но удалить не может. DR Web CureIt и Adwcleaner не помогли. Каким образом подхватили троян не могу сказать.   
      CollectionLog-2017.06.03-16.28.zip
×
×
  • Создать...