Перейти к содержанию

Удаление троянов Trojan.Multi.GenAutorunTask.c, Trojan.Multi.GenAutorunTask.b


Рекомендуемые сообщения

Добрый вечер. В мониторинге активности KIS 21.3.10.391(k) сегодня нашел следующие сообщения:

 

Событие: Обнаружен вредоносный объект
Программа: Kaspersky Internet Security
Пользователь: ************
Тип пользователя: Активный пользователь
Компонент: Мониторинг активности
Описание результата: Обнаружено
Тип: Троянская программа
Название: Trojan.Multi.GenAutorunTask.c
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: System Memory
Причина: Базы
Дата выпуска баз: Сегодня, 10.06.2023 15:31:00

 

Событие: Запрещено
Программа: Kaspersky Internet Security
Пользователь: ************
Тип пользователя: Активный пользователь
Компонент: Мониторинг активности
Описание результата: Запрещено
Тип: Троянская программа
Название: Trojan.Multi.GenAutorunTask.c
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: System Memory
Дата выпуска баз: Сегодня, 10.06.2023 15:31:00

 

====================================================

 

Событие: Обнаружен вредоносный объект
Программа: Kaspersky Internet Security
Пользователь: ************
Тип пользователя: Активный пользователь
Компонент: Мониторинг активности
Описание результата: Обнаружено
Тип: Троянская программа
Название: Trojan.Multi.GenAutorunTask.b
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: System Memory
Причина: Базы
Дата выпуска баз: Сегодня, 10.06.2023 15:31:00

 

Событие: Запрещено
Программа: Kaspersky Internet Security
Пользователь: ************
Тип пользователя: Активный пользователь
Компонент: Мониторинг активности
Описание результата: Запрещено
Тип: Троянская программа
Название: Trojan.Multi.GenAutorunTask.b
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: System Memory
Дата выпуска баз: Сегодня, 10.06.2023 15:31:00

 

Они появились аккурат сразу после удаления No Mans Sky. Компьютер просканировал KVRT и AVZ. Они ничего не нашли.

Помогите, пожалуйста, удалить этих зловредов, так как сильно сомневаюсь, что они просто растворились в воздухе.

CollectionLog-2023.06.11-00.28.zip

Ссылка на комментарий
Поделиться на другие сайты

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C94059BE-EB7D-41D7-968B-ED5DAA8912AB} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C94059BE-EB7D-41D7-968B-ED5DAA8912AB} - \Microsoft\Windows\UNP\RunCampaignManager (no xml)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\Diagnosis\RecommendedTroubleshootingScanner - C:\WINDOWS\system32\mitigationscanner.exe (file missing)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты

7 hours ago, thyrex said:

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

Пофиксил. Новый лог приложил

CollectionLog-2023.06.11-17.12.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
FirewallRules: [{03AA3361-F2B6-4626-AB49-F1C7158727C9}] => (Allow) G:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{4FF7DCE1-EF79-4655-AB5A-AF4B0AF9E6B3}] => (Allow) G:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{55190D1C-5CCB-4ADF-8F89-0887ABA9CD62}] => (Allow) G:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{12EE51F4-B74F-43E9-A539-55F7F712E8F0}] => (Allow) G:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{6FFD9391-AF7E-4CBC-A8EA-E341B6C71B69}] => (Allow) G:\Steam\Steam.exe => Нет файла
FirewallRules: [{8CD26F0E-B50D-43A5-8460-FE536E23E33D}] => (Allow) G:\Steam\Steam.exe => Нет файла
FirewallRules: [{9B2F6F9A-0344-4243-A355-61A28B359CF2}] => (Allow) G:\RaidCall\rcplugin.exe => Нет файла
FirewallRules: [{A643EB11-8668-4D34-A824-5B2641F3ACAE}] => (Allow) G:\RaidCall\rcplugin.exe => Нет файла
FirewallRules: [{588E9C1A-54E8-4615-95F9-A49C0C5196B7}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{E320142A-220C-4B10-954E-296754359210}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{44913BA9-D6B4-413D-B93C-A53FB1541EDF}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{4C5EDB08-F749-45FD-ABC2-5F64A7AFC0B2}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите результат.

Ссылка на комментарий
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

---------------------- [ AntiVirusFirewallInstall ] -----------------------


Kaspersky Internet Security v.21.3.10.391 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.23.4.1 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Standard 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.90 (32-разрядная) v.5.90.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC (2015) MUI v.15.006.30527 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x86 ru) v.113.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

по возможности исправьте указанное +

https://www.cyberforum.ru/viruses-faq/thread430326.html
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Вадим_АнтиВирус
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • Xistoner
      Автор Xistoner
      Проверил систему через dr.web, удалил. После перезапуска системы опять появляется и работает.
      Прикрепил логи AutoLogger
      CollectionLog-2025.06.26-18.43.zip
    • Amgasan
      Автор Amgasan
      Обнаружил загрузку ГП на но утбуке, при проверке DoctorWeb CureIt выдало Tool.btcmine.2794, после перезагрузки снова восстанавливается как файл WinServiceNetworking.exe. 
      CollectionLog-2025.06.17-21.00.zip
    • Durb
      Автор Durb
      Никак не могу удалить. Майнер возвращается после перезапуска системы
      CollectionLog-2025.07.18-15.25.zip
    • Alexey82
      Автор Alexey82
      Добрый день.
      Прошу помощи в удалении Trojan:Win32/Kepavll!rfn.
       
      Сработал стандартный Защитник Windows (Windows 10) Microsoft Defender.
      В папке ProgramData появилось много папок с названиями всех известных антивирусов, при попытке открыть страницы в браузере с упоминанием о удалении троянов - браузер закрывается.
      Прогнал CureIt, нашел угрозы, удалил не всё, лог приложил.
      Объясню сразу момент - приложение GPP Remote Service установлено мной лично для доступа к домашнему ноуту.
      Собственно все началось после того, как захотел ознакомиться с игрой Wizardum, как ни странно скачивал торрент отсюда (h__s://bуrutgаmе.оrg/41154-wizоrdum.htmI), в момент запуска установщика, на него выругался Microsoft Defender.
       
      Прошу помощи с удалением.
       
      Заранее спасибо откликнувшимся специалистам.
      CollectionLog-2025.06.27-06.20.zip cureit.rar
×
×
  • Создать...