Перейти к содержанию

Trojan.Multi.GenAutorunProc.a


alshuba

Рекомендуемые сообщения

Касперский находит Trojan.Multi.GenAutorunProc.a в системной памяти. предложенное лечение с перезагрузкой не помогает. полное сканирование ничего не находит, пробовал сканировать 5тью разными антивирусами: 360-Eset-kaspersky-dr web-avast. Еще касперский ругался на chrome sunbrowser.exe версия 108 используемый в ads power, перевел все профили в адс повере на версию 116 chrome sunbrowser а всю директорию 108 версии удалил и вместо ее подсадил в папку файлы от 116 версии после этого ругаться на 108 версию перестал.

Спойлер

 

3.jpg

2.jpg

1.jpg

 

 

CollectionLog-2023.08.30-01.41.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {BB67AFED-9CBD-44E4-8CCA-937EEFB6CB5A} - System32\Tasks\Outbyte\Driver Updater\AttackersAlert => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  /UseTray /Schedule /AttackersAlert (Нет файла)
Task: {DFBEDBF5-9903-4579-8FEF-6A8B1D49DAFD} - System32\Tasks\Outbyte\Driver Updater\CauseErrors => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  /UseTray /Schedule /CauseErrors (Нет файла)
Task: {2BA110B7-1A68-4796-BCCF-FC8BA805AA4B} - System32\Tasks\Outbyte\Driver Updater\DriverFlaws => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  /UseTray /Schedule /DriverFlaws (Нет файла)
Task: {8AC6611D-2CBE-4A78-A0E3-14FCF1C59338} - System32\Tasks\Outbyte\Driver Updater\HackersAlert => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  /UseTray /Schedule /HackersAlert (Нет файла)
Task: {9D9C2F28-EA1E-4467-B107-19AEBDFB31BF} - System32\Tasks\Outbyte\Driver Updater\NvidiaFlaws => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  /UseTray /Schedule /NvidiaFlaws (Нет файла)
Task: {BEEA95B9-74CE-4EF9-93EE-02E4E254ABB8} - System32\Tasks\Outbyte\Driver Updater\OutdatedDrivers => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  /UseTray /Schedule /OutdatedDrivers (Нет файла)
Task: {6532AFED-67CA-410D-B465-43286E256A10} - System32\Tasks\Outbyte\Driver Updater\PoorPerformance => C:\Program Files (x86)\Outbyte\Driver Updater\DriverUpdater.exe  /UseTray /Schedule /PoorPerformance (Нет файла)
S3 WinRing0_1_2_0; \??\C:\Users\Aleksandr\AppData\Local\Temp\tmp60E7.tmp [X] <==== ВНИМАНИЕ
FirewallRules: [{BCB5BB70-2828-430F-8239-E75A7398DF5A}] => (Allow) C:\Users\Aleksandr\AppData\Roaming\BitTorrent Web\btweb.exe => Нет файла
FirewallRules: [{2CF871B7-6EE4-45C3-A4A1-71C20F813D68}] => (Allow) C:\Users\Aleksandr\AppData\Roaming\BitTorrent Web\btweb.exe => Нет файла
FirewallRules: [{A0DD4495-B92D-4520-A7E7-DE78B290F892}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Нет файла
FirewallRules: [{9CAA0456-D23F-4A74-A5A5-61F12CA6E1F1}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите ее результат.
 

Ссылка на комментарий
Поделиться на другие сайты

все сделал но не совсем понял для чего я копировал в буфер обмена код. Если никуда я его не вставлял значит предположу что программа самостоятельно прочитала его после нажатия кнопки исправить... Проверку запустил но даже раньше полная проверка ничего не находила. Посмотрю будет ругаться на вирус каспер в дальнейшем или нет. отпишусь. файл прикрепляю

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты

Python 3.10.8 (64-bit) v.3.10.8150.0 Внимание! Скачать обновления


------------------------------- [ Browser ] -------------------------------
Opera Stable 101.0.4843.43 v.101.0.4843.43 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Yandex v.23.7.3.823 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

по возможности исправьте указанное, и на этом закончим

Ссылка на комментарий
Поделиться на другие сайты

Спасибо за помощь, за 3 часа работы пока вирус не появлялся. У меня остался один вопрос: успел ли этот вирус похитить какие либо данные с компьютера у меня ?

Ссылка на комментарий
Поделиться на другие сайты

Вряд ли. В трех последних темах на форуме с данным детектом у пользователей установлен Ads Power. Видимо что-то с ним не так.

Ссылка на комментарий
Поделиться на другие сайты

я им пользуюсь каждый день. нужен для работы. 6 месяцев не было никаких проблем. так все таки это подцепленный вирус? и можно просто удалить и переустановить адсповер или же все таки это не вирус и просто каспер ругается на этот мультибраузер и переустановка не решит проблему?

Ссылка на комментарий
Поделиться на другие сайты

Сомнительно, что переустановка что-то решит. К слову, он у Вас используется в трех ярлыках. Например, 

Цитата

C:\Users\Aleksandr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\edc444f3bc3b6f3c\MetaMask.lnk

Возможно это как-то связано и с тремя расширениями MetaMask, установленными в браузерах.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • nesqchay
      От nesqchay
      Приветствую, у меня аналогично, пока только первое обнаружение, но почитал немного форум, и судя по всему будут и еще, а лечение вероятно не поможет
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Trojan.Multi.GenAutorunReg.a каждый раз после лечения и перезапуска появляется заново, как удалить  
    • tishkoo
      От tishkoo
      касперский не может вылечить или устранить его с перезагрузкой и без
    • Vladimir22
      От Vladimir22
      Добрый день! Поймал вот такую гадость: Trojan.Multi.GenAutorunProc.a . посмотрел похожие ветки - не помогло. помогите с лечением
    • Erd1nele
      От Erd1nele
      Здравствуйте уважаемые специалисты.  Вот уже 2 дня у меня сгорает 5я точка от непонимания происходящего.
       
      Логи приложу ниже. Но сначала краткий пролог.
      я разработчик и слегка сис.админ. с безопасностью почти на "ты".,,
      Позавчера (07.01.2023) мне принесли новые потроха железа хорошего я и собрал рабочую станцию своим коллегам с которым нахожусь (важно) - можно сказать живу 24/7 (живу). Это важно. этим я хотел сказать, что ничего запустить лишнего на ПК нельзя.
      Рабочая станция с чистой лицензионной Windows 10 Pro. Лицензией KTS и коротким набором ПО для работы Adobe Cloud (лицензия и все входящие в него ПО в виде фотошопа, премьера и прочего). Телеграмм, Termius, Outline, Dolphyn Anty. Последний - в списке достаточно специфичное ПО которое на базе хромиума делает много браузеров со своими отпечатками и прочим. Это нужно для работы. Весь прошлый год у коллег он детектировался другими антивирусами как вирус, но таковым никогда не являлся.  То есть еще раз: чистая как слеза Win10, все ПО лицензия.
      С точки зрения безопасности: AppLocker c белым листом ПО (только то, что выше перечислил). Users (работа из под пользователя а не администраторов), запрет запуска VBS/VBE, KTS и так далее. Плюс конечно СИ - мои коллеги достаточно опытны, чтобы не заходить на сайты БеЗрЕгИсТрацИи и смс. Да и не нужно это - есть краткий и четкий набор софта для работы.
       
      Теперь о нюансах. Наверняка все знают, что сейчас творится в мире и в моей стране идет война. Имея на руках один системный блок (всего один) и не имея средств на покупку второго и третьего (нас трое) мы нашли интересное решение как ASTER - это софт который позволяет аппаратно отделить мышки и клавиатуры с минимальным вмешательством в ОС и разбить мониторы. Таким образом на одном мощном ПК в условиях беженца можно работать втроем. Это радует. 
       
      И вот на такой истории вчера вылетела плашка "обнаружена вредоносная программа". системная память (то есть она УЖЕ там в системной памяти - а как мы помним от администратора коллеги не работают и там настройки до зубов + каспеский в режиме среднем + ни кто ничего левого не запускал, да и не возможно это сделать - политика настроена. Я остановил всю работу. перезагрузили с лечением. В логах касперского не было процесса конкретно - просто загружен в память. А это значит, что сигнатура была известна и по логике была запущена (нет, не возможно) и скачана (нет, не возможно). Соответственно так как мы работаем с данными, которые пролетают в буфере обмена, что являются важными для нас - мы просто обязаны расследовать инцидент. Моего скилла не хватает, не мой профиль - прошу помощи специалистов. Так как важно не только понять - ложное ли это срабатывание эвристики KTS или же это действительно неведомая зверушка (если так - то крайне важно понять какой магией она попала на рабочий ПК).
       
      Согласно правилам оформления темы я должен был прикрепить логи - но параноидально проверив .exe сборщика логов получил 2 совпадения 
      https://www.virustotal.com/gui/file/5d7547003fb816def9769f9bcaec1ec297041e99535b8fbb27ced2170dcb52da/detection (это нормально для сборщика логов?)
       
       
       

      Добавлю, что после перезагрузки с лечением сегодня (только что) эта штука опять "появилась" в памяти - при этом запущен стандартный набор ПО - Dolphyn Anty, Telegram, Termius, Chrome..
    • sever_hg
      От sever_hg
      FRST.txtAddition.txt Прошелся по форуму нашел ответ, но скрипт составили под индивидуальную проблему. Сканировал программой из этой темы
       
      Подскажите как должен выглядеть скрипт по моим логам.
×
×
  • Создать...