Перейти к содержанию

[РЕШЕНО] Trojan.Multi.GenAutorunProc.a в системной памяти


Рекомендуемые сообщения

Добрый день,

Касперский не может удалить вирус. Постоянно выскакивает. 

Видел уже похожую тему: https://forum.kasperskyclub.ru/topic/104467-trojanmultigenautorunrega/

Но я чайник и не всё понял, логи как просили в той теме я сгенерировал в програме и приложил.

Если можно как можно проще объяснить пошагово что делать.

Заранее благодарен.

С уважением 

scan1.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, SQ сказал:

Здравствуйте,

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Добрый день, не уверен правильно ли я сделал галочка при сканировании на диске C после старта пропадала. 

CollectionLog-2022.06.18-10.42.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Могли бы перезалить ваш лог, а то он недоступен для скачивания. Спасибо.

Ссылка на сообщение
Поделиться на другие сайты

 Сами устанавливали?
 

O22 - Task: Driver Easy Scheduled Scan - C:\Program Files\Easeware\DriverEasy\DriverEasy.exe --scan



Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://ww-searchings.com/hp?src=zl&r=F6F6258A2B0619AC992CD2F2BD80F08D","hxxp://mypoisk.su/"
    AlternateDataStreams: C:\Users\kanto\Application Data:955d2a2f697b1c9b40c63a2dd2b7d393 [394]
    AlternateDataStreams: C:\Users\kanto\AppData\Roaming:955d2a2f697b1c9b40c63a2dd2b7d393 [394]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4772]
    FirewallRules: [{083DA6FD-5B5F-4B53-9C3F-7F7BCF387309}] => (Allow) D:\stea\Steam.exe => Нет файла
    FirewallRules: [{F69224B0-FA7C-48E8-A17D-34BAEEBEA784}] => (Allow) D:\stea\Steam.exe => Нет файла
    FirewallRules: [{C1B11D49-B9EB-427E-9834-91C5EC110436}] => (Allow) D:\stea\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
    FirewallRules: [{8D0477CA-692A-4785-BDC0-BE8FD3A98900}] => (Allow) D:\stea\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
    FirewallRules: [{F34B7865-BFCD-49D2-AAE8-28B0E868CAC9}] => (Allow) D:\UltraVNC\winvnc.exe => Нет файла
    FirewallRules: [{83C3DE9A-D9B5-4602-8B19-5679E3BBE84A}] => (Allow) D:\UltraVNC\winvnc.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

Спасибо, сделал всё по Вашей инструкции.

Не понял одного момента я скопировал текст, но никуда его не вставил так и должно быть?

Вот файл, который был сгенерирован. Что-то ещё необходимо сделать? 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Она может появится раз в 3-4 дня. Поэтому так сразу к сожалению, сказать не смогу. Большое спасибо за помощь. Ещё вопрос какие-то данные, которые были на моём компьютере могли попасть в руки злоумышленников?

Ссылка на сообщение
Поделиться на другие сайты
On 19.06.2022 at 16:29, KANT21 said:

Ещё вопрос какие-то данные, которые были на моём компьютере могли попасть в руки злоумышленников?

Трудно, что-то сказать, так как в логах только было замечена подозрительная ссылка, которая перенаправляла на различные ресурсы
 

"hxxp://ww-searchings.com/hp?src=zl&r=F6F6258A2B0619AC992CD2F2BD80F08D",

Ждем от вас новостей в течение 3-4 дней.

Ссылка на сообщение
Поделиться на другие сайты

Добрый вечер, 

Данную ссылку точно не открывал, всегда слежу чтобы было https.

Большое спасибо за помощь, вроде всё в порядке.

Хорошего вечера. 

Ссылка на сообщение
Поделиться на другие сайты

Завершающие шаги:

 

1) Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Nikita1264
      От Nikita1264
      Приветствую, сканировал этот вирус через KVRT, находит его в Системной памяти, пытался лечить с перезагрузкой и без, исход все тот же, после перезагрузки он опять его находит
      Сделал отчеты через Farbar, вот
      mem.rar
    • kirillsk
      От kirillsk
      Касперский обнаружил вирус MEM:Trojan.Win32.Sepeh.gen, после лечения вирус снова появляется.
      CollectionLog-2022.08.04-10.21.zip
    • xionar
      От xionar
      После установки группы приложений, на следующее утро в Speccy заметил что температура видеокарты была 71 градус, почистив майнер avbr, стала скакать температура ЦП с 36 до 49, а то и выше
      CollectionLog-2022.07.25-10.26.zip
    • kulin
      От kulin
      Здравствуйте. Периодически запускается Google Chrome с сайтом. Сканировал несколькими утилитами ничего не помогло. Спасибо за помощь.
      CollectionLog-2022.07.23-14.34.zip
    • Дмитрий87
      От Дмитрий87
      Ориентировочно 8072022 была заражена вся сетка и файлы текстовые, а так же файлы баз данных ПО изменили свой формат на Ruben. Логи  с одного из зараженных компьютеров и образцы зараженных файлов прилагаю. Так же на сервере сети был файл cryptor.exe (может ли это быть вирусом-шифровальщиком?)
      логи.txt файлыl.rar
×
×
  • Создать...