Перейти к содержанию

Троян в памяти


anariel_m

Рекомендуемые сообщения

Начала очень быстро заполняться память диска С на ноутбуке, которой и так было немного, но в общем сейчас она вылетает в ноль с 2-3гб за минут 5-10. Скан malware и Microsoft security сначала ничего не дал вообще, потом Касперский нашел два трояна (Trojan.Multi.GenAutorunTask.c и HEUR:Trojan.Multi.GenBadur.gena), первый из них в системной памяти. Тот, который в памяти, он мог только лечить (считает, что вылечил), второй удалил. Повторное сканирование нашло ещё два вируса на диске D, их не было в первый раз, их вроде удалил. Под конец microsoft security тоже увидел какой-то троян, тоже удалил. Третье сканирование Касперским не нашло ничего, но память всё ещё забивается до нуля за 5 минут. 

Буду очень благодарна за помощь.

CollectionLog-2022.10.19-20.01.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ деинсталлируйте нежелательное или устаревшее ПО:

Цитата

 

Adobe Flash Player 10 ActiveX

Adobe Flash Player 23 NPAPI

Google Toolbar for Internet Explorer

Java 8 Update 111

QIP Internet Guardian

 

 

Почта Windows Live - тоже прекращена поддержка, можете удалить.

Пересмотрите все программы от Asus и удалите те, которыми не пользуетесь.

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Наберитесь терпения, процедура лечения может занять продолжительное время.

 

Раз удалили всё в AdwCleaner, покажите отчёты с символом [Cxx].

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3662643654-602650932-17728-1000\...\MountPoints2: F - F:\AutoRun.exe
    HKU\S-1-5-21-3662643654-602650932-17728-1000\...\MountPoints2: G - G:\autorun.exe
    HKU\S-1-5-21-3662643654-602650932-17728-1000\...\MountPoints2: {3a66f0c4-622a-11e6-b8c8-485b3915ad20} - G:\AutoRun.exe
    HKU\S-1-5-21-3662643654-602650932-17728-1000\...\MountPoints2: {46ba0cbb-e9d5-11e5-ad2d-485b3915ad20} - F:\LGAutoRun.exe
    HKU\S-1-5-21-3662643654-602650932-17728-1000\...\MountPoints2: {7083ff6b-277e-11e9-9bbd-485b3915ad20} - H:\autorun.exe
    Task: {129E7E54-3708-46EC-8CA1-34D5DBACDDF6} - System32\Tasks\{51A6C906-0EE7-411B-A13C-6D5CB3CC82AD} => D:\Donut County\DonutCounty.exe (Нет файла)
    Task: {4DFADF97-B251-4201-A2AE-E9DB988B039A} - System32\Tasks\{C918CFC5-03AB-4000-8756-E2868830FC3B} => C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AcroRd32.exe (Нет файла)
    Task: {7DF92F68-E1D0-4FEE-95A5-E5D5E7070D13} - System32\Tasks\{9AF8BCA7-4925-453D-B1F8-A811D24E9C15} => D:\Donut County\DonutCounty.exe (Нет файла)
    ProxyEnable: [S-1-5-21-3662643654-602650932-17728-1000] => Proxy включён
    ProxyServer: [S-1-5-21-3662643654-602650932-17728-1000] => 127.0.0.1:54576
    ManualProxies: 1127.0.0.1:54576 <==== ВНИМАНИЕ
    AlternateDataStreams: C:\ProgramData\Temp:4CF61E54 [128]
    AlternateDataStreams: C:\ProgramData\Temp:734E442A [135]
    AlternateDataStreams: C:\ProgramData\Temp:A724744F [118]
    AlternateDataStreams: C:\ProgramData\Temp:AB689DEA [304]
    AlternateDataStreams: C:\ProgramData\Temp:B88E99C8 [127]
    FirewallRules: [{47A60D76-FD9C-4453-824E-15A068945836}] => (Allow) LPort=2869
    FirewallRules: [{02D9B8AA-D84B-4C9E-9DD4-2D84064C39EF}] => (Allow) LPort=1900
    FirewallRules: [{F1592069-E862-4744-8881-4601E0BB0BB3}] => (Allow) LPort=8501
    FirewallRules: [{EF5667E0-ADAA-41EB-8812-2C8455C18B62}] => (Allow) LPort=8501
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Прикрепляю.  Я же правильно поняла, что код надо было просто скопировать в буфер обмена? Вставлять для исправления никуда не надо было?

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Ничего не поменялось, к сожалению. Ну, он сразу после включения видит больше памяти, чем было, да (около 5 с лишним гб), то есть всё, что удалялось - удалилось. Но память продолжает исчезать с довольно быстрой скоростью.

Ссылка на комментарий
Поделиться на другие сайты

Уточните, пожалуйста:

18 часов назад, anariel_m сказал:

память продолжает исчезать

Речь идёт об оперативной памяти или о количестве свободного места на диске?

 

Предположу, что второе, т.к.

Цитата

Drive C (OS) (Fixed) (Total:58.22 GB) (Free:0.01 GB)

 

Размер системного диска 58 гигабайт по сегодняшним меркам слишком мал.

Существует способ увеличить этот размер за счёт диска D, но это требует определенных навыков.

Посоветуйтесь об этом в соседнем разделе.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Диск С, да. Я понимаю, что он мал, но ведь странно же, если до какого-то момента мои 2-3Гб стабильно были на месте, а теперь примерно за полчаса память с 5Гб уменьшается до нуля. При том, что вирус в системной памяти действительно был.

Ссылка на комментарий
Поделиться на другие сайты

  • Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Morkleb
      От Morkleb
      Здравствуйте. Завёлся вот в памяти, несколько попыток лечения с перезагрузкой ПК при помощи утилиты от Касперского, но увы. Надеюсь на помощь.
      CollectionLog-2024.10.19-20.14.zip
    • Kerklark
      От Kerklark
      Добрый вечер, вылез троян и не лечится. Своими силами ничего не помогло, прошу помощи. 
      CollectionLog-2024.10.19-20.27.zip
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • Dairoku69_
      От Dairoku69_
      Попыталась обойти замедление дискорда и ютуба, а наткнулась на майнер и возможно ещё на троян. Сами файлы утилиты я уже удалила, но на устройстве появился майнер и угроза названая трояном в Kaspersky Standart, при этом сам антивирус их удалить не смог. Проверяла систему Dr.Web Curelt, KVRT, первый нашёл и почистил только мелкие файлы, не относящиеся к майнеру с утилиты, второй вообще ничего не нашёл.
       
      Логи:
      CollectionLog-2024.12.13-05.23.zip
       
×
×
  • Создать...