Троян в памяти

[anariel_m]

Начала очень быстро заполняться память диска С на ноутбуке, которой и так было немного, но в общем сейчас она вылетает в ноль с 2-3гб за минут 5-10. Скан malware и Microsoft security сначала ничего не дал вообще, потом Касперский нашел два трояна (Trojan.Multi.GenAutorunTask.c и HEUR:Trojan.Multi.GenBadur.gena), первый из них в системной памяти. Тот, который в памяти, он мог только лечить (считает, что вылечил), второй удалил. Повторное сканирование нашло ещё два вируса на диске D, их не было в первый раз, их вроде удалил. Под конец microsoft security тоже увидел какой-то троян, тоже удалил. Третье сканирование Касперским не нашло ничего, но память всё ещё забивается до нуля за 5 минут. 

Буду очень благодарна за помощь.

CollectionLog-2022.10.19-20.01.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ деинсталлируйте нежелательное или устаревшее ПО:

Цитата

 

Adobe Flash Player 10 ActiveX

Adobe Flash Player 23 NPAPI

Google Toolbar for Internet Explorer

Java 8 Update 111

QIP Internet Guardian

 

 

Почта Windows Live - тоже прекращена поддержка, можете удалить.

Пересмотрите все программы от Asus и удалите те, которыми не пользуетесь.

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[anariel_m]

Всё перечисленное удалила, то, что нашел AdwCleaner - через карантин удалила тоже. Не похоже, что проблема ушла.

AdwCleaner[S05].txt

[Sandor]

Наберитесь терпения, процедура лечения может занять продолжительное время.

 

Раз удалили всё в AdwCleaner, покажите отчёты с символом [Cxx].

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[anariel_m]

Всё прикрепила.

Addition.txt AdwCleaner[C05].txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3662643654-602650932-17728-1000\...\MountPoints2: F - F:\AutoRun.exe
  HKU\S-1-5-21-3662643654-602650932-17728-1000\...\MountPoints2: G - G:\autorun.exe
  HKU\S-1-5-21-3662643654-602650932-17728-1000\...\MountPoints2: {3a66f0c4-622a-11e6-b8c8-485b3915ad20} - G:\AutoRun.exe
  HKU\S-1-5-21-3662643654-602650932-17728-1000\...\MountPoints2: {46ba0cbb-e9d5-11e5-ad2d-485b3915ad20} - F:\LGAutoRun.exe
  HKU\S-1-5-21-3662643654-602650932-17728-1000\...\MountPoints2: {7083ff6b-277e-11e9-9bbd-485b3915ad20} - H:\autorun.exe
  Task: {129E7E54-3708-46EC-8CA1-34D5DBACDDF6} - System32\Tasks\{51A6C906-0EE7-411B-A13C-6D5CB3CC82AD} => D:\Donut County\DonutCounty.exe (Нет файла)
  Task: {4DFADF97-B251-4201-A2AE-E9DB988B039A} - System32\Tasks\{C918CFC5-03AB-4000-8756-E2868830FC3B} => C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AcroRd32.exe (Нет файла)
  Task: {7DF92F68-E1D0-4FEE-95A5-E5D5E7070D13} - System32\Tasks\{9AF8BCA7-4925-453D-B1F8-A811D24E9C15} => D:\Donut County\DonutCounty.exe (Нет файла)
  ProxyEnable: [S-1-5-21-3662643654-602650932-17728-1000] => Proxy включён
  ProxyServer: [S-1-5-21-3662643654-602650932-17728-1000] => 127.0.0.1:54576
  ManualProxies: 1127.0.0.1:54576 <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData\Temp:4CF61E54 [128]
  AlternateDataStreams: C:\ProgramData\Temp:734E442A [135]
  AlternateDataStreams: C:\ProgramData\Temp:A724744F [118]
  AlternateDataStreams: C:\ProgramData\Temp:AB689DEA [304]
  AlternateDataStreams: C:\ProgramData\Temp:B88E99C8 [127]
  FirewallRules: [{47A60D76-FD9C-4453-824E-15A068945836}] => (Allow) LPort=2869
  FirewallRules: [{02D9B8AA-D84B-4C9E-9DD4-2D84064C39EF}] => (Allow) LPort=1900
  FirewallRules: [{F1592069-E862-4744-8881-4601E0BB0BB3}] => (Allow) LPort=8501
  FirewallRules: [{EF5667E0-ADAA-41EB-8812-2C8455C18B62}] => (Allow) LPort=8501
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[anariel_m]

Прикрепляю.  Я же правильно поняла, что код надо было просто скопировать в буфер обмена? Вставлять для исправления никуда не надо было?

Fixlog.txt

[Sandor]

Да, вы сделали правильно.

Что сейчас с проблемой?

[anariel_m]

Ничего не поменялось, к сожалению. Ну, он сразу после включения видит больше памяти, чем было, да (около 5 с лишним гб), то есть всё, что удалялось - удалилось. Но память продолжает исчезать с довольно быстрой скоростью.

[Sandor]

Уточните, пожалуйста:

18 часов назад, anariel_m сказал:

память продолжает исчезать

Речь идёт об оперативной памяти или о количестве свободного места на диске?

 

Предположу, что второе, т.к.

Цитата

Drive C (OS) (Fixed) (Total:58.22 GB) (Free:0.01 GB)

 

Размер системного диска 58 гигабайт по сегодняшним меркам слишком мал.

Существует способ увеличить этот размер за счёт диска D, но это требует определенных навыков.

Посоветуйтесь об этом в соседнем разделе.

Изменено 23 октября, 2022 пользователем Sandor

[anariel_m]

Диск С, да. Я понимаю, что он мал, но ведь странно же, если до какого-то момента мои 2-3Гб стабильно были на месте, а теперь примерно за полчаса память с 5Гб уменьшается до нуля. При том, что вирус в системной памяти действительно был.

[Sandor]

Попробуйте с помощью HD Scanner определить что именно "съедает" место. И тему в соседнем разделе всё же создайте.

[anariel_m]

Хорошо. Благодарю за помощь!

[regist]

• Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.