Перейти к содержимому


Фотография
- - - - -

Trojan.Multi.GenAutorunProc.a

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 9

#1 OFF   Юлия22у

Юлия22у

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 06 March 2020 - 02:15

Касперский пишет:

Обнаружено: trojan.Multi.GenAutorunProc.a
Расположение: Системная память

Проблема вот уже около 2х или 3х дней, никак не фиксится, вирус на какое-то время исчез, но сейчас снова появился.
Тему создаю второй раз, почему-то прошлая куда-то исчезла

Прикрепленные файлы


Сообщение отредактировал Юлия22у: 06 March 2020 - 02:15

  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4039

Отправлено 06 March 2020 - 04:33

Здравствуйте,


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Yulia\AppData\Roaming\Microsoft\Realtek\Optimiser\Product\Update\PciDriver.dll','');
 QuarantineFile('C:\Users\Yulia\AppData\Roaming\Microsoft\Windows\Certification\CA\mfcm141ud.dll','');
 QuarantineFile('C:\Users\Yulia\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll','');
 QuarantineFileF('C:\Users\Yulia\AppData\Roaming\WindowsShell', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
 DeleteFile('C:\Users\Yulia\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll','64');
 DeleteSchedulerTask('Win32Utilities');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму



Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 


  • 0

#3 OFF   Юлия22у

Юлия22у

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 06 March 2020 - 15:01

SQ

Прикрепленные файлы


  • 0

#4 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4039

Отправлено 06 March 2020 - 15:36


;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo D:\AUTORUN.INF
delref %SystemDrive%\USERS\YULIA\APPDATA\ROAMING\MICROSOFT\REALTEK\OPTIMISER\PRODUCT\UPDATE\PCIDRIVER.DLL
delref %SystemDrive%\USERS\YULIA\APPDATA\ROAMING\MICROSOFT\WINDOWS\CERTIFICATION\CA\MFCM141UD.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\USERS\YULIA\APPDATA\LOCAL\TEMP\WCTE0A3.TMP
delref %SystemDrive%\USERS\YULIA\APPDATA\LOCAL\TEMP\CHROME_BITS_27232_2004404824\ALXH28TGNVLEIU63BKH29LW
restart

Сообщите, что с проблемой?


  • 0

#5 OFF   Юлия22у

Юлия22у

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 06 March 2020 - 16:03

Архив Zoo не появился, только папка с файлом AUTORUN.INF, поэтому скидываю то, что появилось после выполнения скрипта


Сейчас делаю полную проверку, но она занимает много времени, поэтому отпишусь часов через 5

Прикрепленные файлы


  • 0

#6 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4039

Отправлено 06 March 2020 - 18:22

В карантине zoo файл autorun.inf не предтавляет угрозы.

Отпишите пожалуйста, как будет известно результат полного сканирования.


  • 0

#7 OFF   Юлия22у

Юлия22у

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 06 March 2020 - 19:42

После полной проверки вирус не появлялся, однако выскочило предупреждение о том, что один объект не обработан, а именно not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen


  • 0

#8 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4039

Отправлено 06 March 2020 - 19:51

После полной проверки вирус не появлялся, однако выскочило предупреждение о том, что один объект не обработан, а именно not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen

 Для исправления выполните следующее в AVZ:

"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.


  • 0

#9 OFF   Юлия22у

Юлия22у

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 06 March 2020 - 22:58

Все выполнила, теперь вируса нет и касперский ни на что не ругается. Спасибо большое! Буду наблюдать дальше, надеюсь, подобного больше не случится.


  • 0

#10 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4039

Отправлено 07 March 2020 - 00:36

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных