Удаление троянов Trojan.Multi.GenAutorunTask.c, Trojan.Multi.GenAutorunTask.b

[zzz666 0]

Добрый вечер. В мониторинге активности KIS 21.3.10.391(k) сегодня нашел следующие сообщения:

 

Событие: Обнаружен вредоносный объект
Программа: Kaspersky Internet Security
Пользователь: ************
Тип пользователя: Активный пользователь
Компонент: Мониторинг активности
Описание результата: Обнаружено
Тип: Троянская программа
Название: Trojan.Multi.GenAutorunTask.c
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: System Memory
Причина: Базы
Дата выпуска баз: Сегодня, 10.06.2023 15:31:00

 

Событие: Запрещено
Программа: Kaspersky Internet Security
Пользователь: ************
Тип пользователя: Активный пользователь
Компонент: Мониторинг активности
Описание результата: Запрещено
Тип: Троянская программа
Название: Trojan.Multi.GenAutorunTask.c
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: System Memory
Дата выпуска баз: Сегодня, 10.06.2023 15:31:00

 

====================================================

 

Событие: Обнаружен вредоносный объект
Программа: Kaspersky Internet Security
Пользователь: ************
Тип пользователя: Активный пользователь
Компонент: Мониторинг активности
Описание результата: Обнаружено
Тип: Троянская программа
Название: Trojan.Multi.GenAutorunTask.b
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: System Memory
Причина: Базы
Дата выпуска баз: Сегодня, 10.06.2023 15:31:00

 

Событие: Запрещено
Программа: Kaspersky Internet Security
Пользователь: ************
Тип пользователя: Активный пользователь
Компонент: Мониторинг активности
Описание результата: Запрещено
Тип: Троянская программа
Название: Trojan.Multi.GenAutorunTask.b
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: System Memory
Дата выпуска баз: Сегодня, 10.06.2023 15:31:00

 

Они появились аккурат сразу после удаления No Mans Sky. Компьютер просканировал KVRT и AVZ. Они ничего не нашли.

Помогите, пожалуйста, удалить этих зловредов, так как сильно сомневаюсь, что они просто растворились в воздухе.

CollectionLog-2023.06.11-00.28.zip

[thyrex 1 423]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C94059BE-EB7D-41D7-968B-ED5DAA8912AB} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C94059BE-EB7D-41D7-968B-ED5DAA8912AB} - \Microsoft\Windows\UNP\RunCampaignManager (no xml)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\Diagnosis\RecommendedTroubleshootingScanner - C:\WINDOWS\system32\mitigationscanner.exe (file missing)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[zzz666 0]

7 hours ago, thyrex said:

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

Пофиксил. Новый лог приложил

CollectionLog-2023.06.11-17.12.zip

[thyrex 1 423]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[zzz666 0]

Прикладываю отчеты

FRST Addition.rar

[thyrex 1 423]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
FirewallRules: [{03AA3361-F2B6-4626-AB49-F1C7158727C9}] => (Allow) G:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{4FF7DCE1-EF79-4655-AB5A-AF4B0AF9E6B3}] => (Allow) G:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{55190D1C-5CCB-4ADF-8F89-0887ABA9CD62}] => (Allow) G:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{12EE51F4-B74F-43E9-A539-55F7F712E8F0}] => (Allow) G:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{6FFD9391-AF7E-4CBC-A8EA-E341B6C71B69}] => (Allow) G:\Steam\Steam.exe => Нет файла
FirewallRules: [{8CD26F0E-B50D-43A5-8460-FE536E23E33D}] => (Allow) G:\Steam\Steam.exe => Нет файла
FirewallRules: [{9B2F6F9A-0344-4243-A355-61A28B359CF2}] => (Allow) G:\RaidCall\rcplugin.exe => Нет файла
FirewallRules: [{A643EB11-8668-4D34-A824-5B2641F3ACAE}] => (Allow) G:\RaidCall\rcplugin.exe => Нет файла
FirewallRules: [{588E9C1A-54E8-4615-95F9-A49C0C5196B7}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{E320142A-220C-4B10-954E-296754359210}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{44913BA9-D6B4-413D-B93C-A53FB1541EDF}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{4C5EDB08-F749-45FD-ABC2-5F64A7AFC0B2}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите результат.

[zzz666 0]

Полную проверку выполнил - угроз не обнаружено

Fixlog.txt

[thyrex 1 423]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

[zzz666 0]

SecurityCheck.txt

[thyrex 1 423]

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Internet Security v.21.3.10.391 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.23.4.1 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Standard 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.90 (32-разрядная) v.5.90.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC (2015) MUI v.15.006.30527 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x86 ru) v.113.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

по возможности исправьте указанное +

https://www.cyberforum.ru/viruses-faq/thread430326.html

[zzz666 0]

Обновления накачу как будет возможность. Что-то еще нужно будет делать в рамках лечения?