Перейти к содержанию

[РЕШЕНО] Trojan.Multi.GenAutorunProc.a в системной памяти


Рекомендуемые сообщения

Добрый день,

Касперский не может удалить вирус. Постоянно выскакивает. 

Видел уже похожую тему: https://forum.kasperskyclub.ru/topic/104467-trojanmultigenautorunrega/

Но я чайник и не всё понял, логи как просили в той теме я сгенерировал в програме и приложил.

Если можно как можно проще объяснить пошагово что делать.

Заранее благодарен.

С уважением 

scan1.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, SQ сказал:

Здравствуйте,

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Добрый день, не уверен правильно ли я сделал галочка при сканировании на диске C после старта пропадала. 

CollectionLog-2022.06.18-10.42.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Могли бы перезалить ваш лог, а то он недоступен для скачивания. Спасибо.

Ссылка на сообщение
Поделиться на другие сайты

 Сами устанавливали?
 

O22 - Task: Driver Easy Scheduled Scan - C:\Program Files\Easeware\DriverEasy\DriverEasy.exe --scan



Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://ww-searchings.com/hp?src=zl&r=F6F6258A2B0619AC992CD2F2BD80F08D","hxxp://mypoisk.su/"
    AlternateDataStreams: C:\Users\kanto\Application Data:955d2a2f697b1c9b40c63a2dd2b7d393 [394]
    AlternateDataStreams: C:\Users\kanto\AppData\Roaming:955d2a2f697b1c9b40c63a2dd2b7d393 [394]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4772]
    FirewallRules: [{083DA6FD-5B5F-4B53-9C3F-7F7BCF387309}] => (Allow) D:\stea\Steam.exe => Нет файла
    FirewallRules: [{F69224B0-FA7C-48E8-A17D-34BAEEBEA784}] => (Allow) D:\stea\Steam.exe => Нет файла
    FirewallRules: [{C1B11D49-B9EB-427E-9834-91C5EC110436}] => (Allow) D:\stea\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
    FirewallRules: [{8D0477CA-692A-4785-BDC0-BE8FD3A98900}] => (Allow) D:\stea\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
    FirewallRules: [{F34B7865-BFCD-49D2-AAE8-28B0E868CAC9}] => (Allow) D:\UltraVNC\winvnc.exe => Нет файла
    FirewallRules: [{83C3DE9A-D9B5-4602-8B19-5679E3BBE84A}] => (Allow) D:\UltraVNC\winvnc.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

Спасибо, сделал всё по Вашей инструкции.

Не понял одного момента я скопировал текст, но никуда его не вставил так и должно быть?

Вот файл, который был сгенерирован. Что-то ещё необходимо сделать? 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Она может появится раз в 3-4 дня. Поэтому так сразу к сожалению, сказать не смогу. Большое спасибо за помощь. Ещё вопрос какие-то данные, которые были на моём компьютере могли попасть в руки злоумышленников?

Ссылка на сообщение
Поделиться на другие сайты
On 19.06.2022 at 16:29, KANT21 said:

Ещё вопрос какие-то данные, которые были на моём компьютере могли попасть в руки злоумышленников?

Трудно, что-то сказать, так как в логах только было замечена подозрительная ссылка, которая перенаправляла на различные ресурсы
 

"hxxp://ww-searchings.com/hp?src=zl&r=F6F6258A2B0619AC992CD2F2BD80F08D",

Ждем от вас новостей в течение 3-4 дней.

Ссылка на сообщение
Поделиться на другие сайты

Добрый вечер, 

Данную ссылку точно не открывал, всегда слежу чтобы было https.

Большое спасибо за помощь, вроде всё в порядке.

Хорошего вечера. 

Ссылка на сообщение
Поделиться на другие сайты

Завершающие шаги:

 

1) Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Dexter84
      От Dexter84
      Добрый день.
      Проблема появилась спонтанно, утром включил комп и увидел такое на рабочем столе (скрин). Исчезли все системные ярлыки, thumbnail'ы фотографий и прочее. Отовсюду - из всех каталогов и контекстных меню. 
      В процессе исследования выяснилось что блокируются загрузки в яндекс.браузере (но что-то получилось загрузить через Opera, а Autologger - только с помощью TOR). Также невозможно зайти в свойства файлов/папок.
      Прошёлся последовательно: NOD32, Cureit!, ADWcleaner, KVRT. Каждый нашёл что-то своё, удалил/закарантинил, но проблемы это не решило.

      Левых ресурсов не посещал, тем более ничего из непроверенных источников не скачивал.

      Выручайте пожалуйста, работать невозможно.
      CollectionLog-2022.06.29-15.47.zip
    • Emereyn
      От Emereyn
      Wemaeye.A в папке C:\Windows\Temp создает dll файлы через каждые 10-25 минут. 
      CollectionLog-2022.06.26-22.21.zip
    • JohnJohnson
      От JohnJohnson
      Привет! Подхватил майнер, уже знаю откуда, больше не подхвачу. Прогнал через dr web cureit, он несколько файлов нашёл и удалил, но майнер остался. Потом пошёл через AutoLogger, там в планировщке 3 файла вредоносного скрипта в powershell. Я сделал скрипт для удаления, ввёл его в АВЗ, ребутнул компьютер. Потом снова прогнал через AutoLogger, там эти файлы всё равно остались. Видимо, что-то ещё нужно добавить в скрипт. Тут я уже не компетентен(

      Заранее большое спасибо!
      CollectionLog-2022.06.25-23.31.zip
    • Tvorojocheck
      От Tvorojocheck
      Добрый день, прошу помочь с удалением данного вируса
      CollectionLog-2022.06.24-12.22.zip
    • Spanden
      От Spanden
      Удалил вирусы с помощью Dr.Web CureIt. Антивирус Касперского не устанавливается. Прилагаю логи. Помогите, пожалуйста, исправить то, что поломал вирус.
      CollectionLog-2022.06.15-11.02.zip
×
×
  • Создать...