Перейти к содержимому


Фотография
* * * * * 1 Голосов

Trojan.Multi.GenAutorunProc.a

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 11

#1 OFF   Out_Of_Skill

Out_Of_Skill

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 05 March 2020 - 18:40

Подцепил 2 дня назад троян. Стоит Kaspersky Inthernet Security 10. Находит Trojan.Multi.GenAutorunProc.a в Системной памяти, лечение с перезапуском не помогает. После перезапуска троян находится в системной памяти снова.

Из заметных воздействий была только сильная загрузка цп и как следствие лаги как браузера, так и игры. Диспетчер задач не находил процессов использующих так сильно цп.

Лаги не появляются моментально. Заметны они стали только после 1-3 часов работы компьютера. 

Полная проверка не даёт результатов.


  • 0

#2 OFF   Mark D. Pearlstone

Mark D. Pearlstone

    Assistant

  • Супер-модераторы
  • Совет фан-клуба
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 21939

Награды

           

Отправлено 05 March 2020 - 18:43

Порядок оформления запроса о помощи


  • 0

#3 OFF   Out_Of_Skill

Out_Of_Skill

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 05 March 2020 - 18:45

Забыл прикрепить лог...

Прикрепленные файлы


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15059

Награды

           

Отправлено 05 March 2020 - 19:35

Здравствуйте.

Выполните скрипт в AVZ из папки Autologger
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Alex\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll','');
 DeleteFile('C:\Users\Alex\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll','64');
 DeleteSchedulerTask('Win32Utilities');
 DeleteSchedulerTask('Microsoft\Windows\Application Experience\StartupAppTask');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.in...s.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   Out_Of_Skill

Out_Of_Skill

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 05 March 2020 - 20:07

Результат загрузки Файл сохранён как 200305_164141_quarantine_5e612bc5e5c9a.zip Размер файла 2979 MD5 aa742e617cc26441519007d897f68d44 Файл закачан, спасибо!

 

Прикрепленные файлы


  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15059

Награды

           

Отправлено 05 March 2020 - 22:36

Что с проблемой?


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   Out_Of_Skill

Out_Of_Skill

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 05 March 2020 - 22:57

Вроде помогло, Касперский не находит троян.

Компьютер перезагружал, пока ничего.

 

P.S. quarantine.zip удалять?


  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15059

Награды

           

Отправлено 05 March 2020 - 23:02

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   Out_Of_Skill

Out_Of_Skill

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 05 March 2020 - 23:18

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 05.03.2020 23:15:15
Path starting: C:\Users\Alex\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Alex
VersionXML: 7.26is-01.03.2020
___________________________________________________________________________
 
Windows 10(6.3.18362) (x64) Core Версия: 1903 Lang: Russian(0419)
Дата установки ОС: 11.08.2019 01:30:10
Статус лицензии: Windows®, Core edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [110.8 Гб] Занято: [94.7 Гб] Свободно: [16.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.535.18362.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Восстановление системы отключено
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
Kaspersky Internet Security (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security (включен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Internet Security (включен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.20.0.14.1085
--------------------------- [ OtherUtilities ] ----------------------------
Node.js v.8.9.3 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.15.0.164 v.3.15.0.164 Внимание! Скачать обновления
Oracle VM VirtualBox 5.2.20 v.5.2.20 Внимание! Скачать обновления
Steam v.2.10.91.91
Microsoft Silverlight v.5.1.20513.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 19.00 (x64) v.19.00
--------------------------------- [ IM ] ----------------------------------
Discord v.0.0.306 [+]
Skype™ 7.40 v.7.40.104 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
Kaspersky Secure Connection v.20.0.14.1085
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 241 (64-bit) v.8.0.2410.7
Java 8 Update 241 v.8.0.2410.7
Java SE Development Kit 8 Update 192 v.8.0.1920.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u241-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.80.0.3987.122
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 20.0 (AVP20.0) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 20.0\avp.exe v.20.0.14.1085
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 20.0\avpui.exe v.20.0.21.1325
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 4.0\ksde.exe v.20.0.14.1085
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 4.0\ksdeui.exe v.20.0.21.1325
Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Амиго v.56.0.2924.197 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15059

Награды

           

Отправлено 06 March 2020 - 06:17

Установите рекомендуемые в логе обновления, удалите Амиго, и на этом закончим.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#11 OFF   Out_Of_Skill

Out_Of_Skill

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 06 March 2020 - 18:00

Программы обновил, касперский вируса не находит, спасибо за помощь.

 

Амиго у меня существует в теневом виде уже 3 год. Когда он начал устанавливаться я убил процесс который ставил его, после чего удалил на диске C все подозрительные папки, но виндовс считает что он всё ещё установлен.

Вы можете порекомендовать что-нибудь что может удалить его до конца?


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 07 March 2020 - 13:30

Попробуйте через Geek Uninstaller


  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных