[РЕШЕНО] Trojan.Multi.GenAutorunProc.a в системной памяти

[KANT21]

Добрый день,

Касперский не может удалить вирус. Постоянно выскакивает. 

Видел уже похожую тему: https://forum.kasperskyclub.ru/topic/104467-trojanmultigenautorunrega/

Но я чайник и не всё понял, логи как просили в той теме я сгенерировал в програме и приложил.

Если можно как можно проще объяснить пошагово что делать.

Заранее благодарен.

С уважением 

scan1.txt

[SQ]

Здравствуйте,

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[KANT21]

6 часов назад, SQ сказал:

Здравствуйте,

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Добрый день, не уверен правильно ли я сделал галочка при сканировании на диске C после старта пропадала. 

CollectionLog-2022.06.18-10.42.zip

[SQ]

Здравствуйте,

Могли бы перезалить ваш лог, а то он недоступен для скачивания. Спасибо.

[KANT21]

Вот пожалуйста. 

CollectionLog-2022.06.18-20.11.zip

[SQ]

 Сами устанавливали?
 

O22 - Task: Driver Easy Scheduled Scan - C:\Program Files\Easeware\DriverEasy\DriverEasy.exe --scan

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[KANT21]

Да, драйвер изи сам устанваливал. На всех компьютерах стоит. 

Addition.txt FRST.txt

[SQ]

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
   HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
   CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://ww-searchings.com/hp?src=zl&r=F6F6258A2B0619AC992CD2F2BD80F08D","hxxp://mypoisk.su/"
   AlternateDataStreams: C:\Users\kanto\Application Data:955d2a2f697b1c9b40c63a2dd2b7d393 [394]
   AlternateDataStreams: C:\Users\kanto\AppData\Roaming:955d2a2f697b1c9b40c63a2dd2b7d393 [394]
   AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4772]
   FirewallRules: [{083DA6FD-5B5F-4B53-9C3F-7F7BCF387309}] => (Allow) D:\stea\Steam.exe => Нет файла
   FirewallRules: [{F69224B0-FA7C-48E8-A17D-34BAEEBEA784}] => (Allow) D:\stea\Steam.exe => Нет файла
   FirewallRules: [{C1B11D49-B9EB-427E-9834-91C5EC110436}] => (Allow) D:\stea\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
   FirewallRules: [{8D0477CA-692A-4785-BDC0-BE8FD3A98900}] => (Allow) D:\stea\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
   FirewallRules: [{F34B7865-BFCD-49D2-AAE8-28B0E868CAC9}] => (Allow) D:\UltraVNC\winvnc.exe => Нет файла
   FirewallRules: [{83C3DE9A-D9B5-4602-8B19-5679E3BBE84A}] => (Allow) D:\UltraVNC\winvnc.exe => Нет файла
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

[KANT21]

Спасибо, сделал всё по Вашей инструкции.

Не понял одного момента я скопировал текст, но никуда его не вставил так и должно быть?

Вот файл, который был сгенерирован. Что-то ещё необходимо сделать? 

Fixlog.txt

[SQ]

Сообщите, если проблема еще проявляется?

[KANT21]

Она может появится раз в 3-4 дня. Поэтому так сразу к сожалению, сказать не смогу. Большое спасибо за помощь. Ещё вопрос какие-то данные, которые были на моём компьютере могли попасть в руки злоумышленников?

[SQ]

On 19.06.2022 at 16:29, KANT21 said:

Ещё вопрос какие-то данные, которые были на моём компьютере могли попасть в руки злоумышленников?

Трудно, что-то сказать, так как в логах только было замечена подозрительная ссылка, которая перенаправляла на различные ресурсы
 

"hxxp://ww-searchings.com/hp?src=zl&r=F6F6258A2B0619AC992CD2F2BD80F08D",

Ждем от вас новостей в течение 3-4 дней.

[KANT21]

Добрый вечер, 

Данную ссылку точно не открывал, всегда слежу чтобы было https.

Большое спасибо за помощь, вроде всё в порядке.

Хорошего вечера. 

[SQ]

Завершающие шаги:

 

1) Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

[SQ]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".