Trojan.Multi.GenAutorunProc.a

[Sandor]

Давайте сделаем такую проверку:

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов (зависит от количества файлов и скорости системы). Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

[Erd1nele]

36 минут назад, Sandor сказал:

Прикрепите его к следующему сообщению.

Во время работы я заметил, что infected: 6 было. уже "обрадовался", что в логах я увижу типы файлов - чтобы понять откуда ноги растут - но увидел скупую информацию.

msert.log

[Sandor]

Да, во время сканирования возможно подобное. Но реален только финальный результат.

Ещё последите и сообщите, будет ли срабатывание KTS.

[Erd1nele]

3 минуты назад, Sandor сказал:

Да, во время сканирования возможно подобное. Но реален только финальный результат.

 

Да, конечно. 

Threat Detected: VirTool:Win32/DefenderTamperingRestore and Removed!
  Action: Remove, Result: 0x00000000
    regkeyvalue://hklm\software\microsoft\windows defender\\DisableAntiSpyware
        SigSeq: 0x0000055555C57273
 

Означает ли это, что какая-то вирь была? или это может быть какая-то настройка для дефендера, которая была включена из-за присутствия KTS? Понятие virtool может по сути распространяться и на файлы программ, что сканируют ПО (что вы для анализа давали выше). 

[Sandor]

1 минуту назад, Erd1nele сказал:

какая-то настройка для дефендера, которая была включена из-за присутствия KTS?

Именно так.

[Erd1nele]

3 часа назад, Sandor сказал:

Именно так.

Прошло пару часов и опять вылезло   Может быть я что-то не так указываю в настройках исключений? Вроде бы все флажки отслеживания снял. Мистика какая-то.

 

Я только формулировку не понял. таким образом я исключил проверку или наоборот ее не исключил?)

[Sandor]

Раз вы выбрали "Только отмеченные", то нужно и отметить нужные модули. Сейчас получается, что действительно ничего не исключается.

Попробуйте отправить этот файл на https://opentip.kaspersky.com/

Результат в виде ссылки покажите здесь. Если будет детект, вы сможете "не согласиться", и тогда вступите в переписку с вирусным аналитиком.

[Erd1nele]

4 часа назад, Sandor сказал:

Результат в виде ссылки покажите здесь. Если будет детект, вы сможете "не согласиться", и тогда вступите в переписку с вирусным аналитиком.

https://opentip.kaspersky.com/7D95B4E26859620738A31DBBAFBF019DA42F2378821E2BB49B748956EF50B3E3/results?tab=upload

Добрый день. Я сейчас включил трассировку в KTS и удалил правила все исключения. Весь день тишина почему-то  Никогда так не ждал запуск вири, как сейчас. 

Скажите, а как-то задним числом из логов KTS можно понять конкретно что за процесс был? он говорит в логах весьма абстрактно .

[Sandor]

Именно этот файл чист, так что получается это реакция на что-то другое.

 

7 минут назад, Erd1nele сказал:

понять конкретно что за процесс был?

Советую обратиться в ТП через https://my.kaspersky.com/#/auth/layout/main

 

Тут на форуме сотрудники ЛК редко появляются.

 

Пока сделайте проверку уязвимых мест и устаревшего критического ПО:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.