[РЕШЕНО] Прилетел Trojan.Multi.GenAutorunProc.a, не могу с ним справиться(

[Moonbeam 0]

Здравствуйте! KIS находит Trojan.Multi.GenAutorunProc.a, просит Лечить с перезагрузкой, одобряю, но вылечить не может, после перезагрузки опять находит. KVRT ни чего не нашел. Помогите побороть. Такую тему, тут, находил уже, но не рискую лечить как там, может у меня по другому.

CollectionLog-2023.10.09-18.22.zip

Изменено 9 октября, 2023 пользователем Moonbeam

[thyrex 1 418]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Moonbeam 0]

Вот...

Download.zip

[regist 618]

А во время сбора первых логов антивирус вы отключали?

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт, AVZ у вас находится по пути: D:\Download\AutoLogger\AutoLogger\AV\av_z.exe):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-3));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

Изменено 10 октября, 2023 пользователем regist

[Moonbeam 0]

Когда собирал CollectionLog - да, антивирус отключал.

Report.7z

[thyrex 1 418]

Очистите отчеты антивируса с найденными угрозами.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Task: {D979EC71-B8F9-45B9-A258-E8E69FD7E5F7} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Нет файла
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Нет файла
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Нет файла
FirewallRules: [{0C18C2AC-ED06-4FF9-AC3B-794AFAB59F1A}] => (Block) C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe => Нет файла
FirewallRules: [{84FC62BA-358C-4BC9-84CA-494A91A4EFBA}] => (Block) C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe => Нет файла
FirewallRules: [UDP Query User{6554469B-3888-4891-9C91-0D53E3F8CFD8}C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe => Нет файла
FirewallRules: [TCP Query User{D514B2EC-BDBC-41A8-8A68-2D1C1F058302}C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe => Нет файла
FirewallRules: [UDP Query User{C198D0B6-5491-4217-939D-A53C4F977850}C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows\phoenixminer.exe => Нет файла
FirewallRules: [TCP Query User{FE63981D-3AEE-4AE9-99C4-041FCCA1DA57}C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows\phoenixminer.exe => Нет файла
FirewallRules: [{779DD05F-5B7D-4007-83CB-C44B4A120DFE}] => (Block) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe => Нет файла
FirewallRules: [{689D27B0-DC41-4422-8869-7EE23921C467}] => (Block) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe => Нет файла
FirewallRules: [UDP Query User{B71C25FE-E453-4CF7-8B22-BB1ED7CDF855}C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe => Нет файла
FirewallRules: [TCP Query User{B8221C48-146A-487A-8A9E-948C2C7E3DB6}C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe => Нет файла
FirewallRules: [{C48A6186-A23D-431F-899B-94C5BF623473}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe => Нет файла
FirewallRules: [{C57A1FAA-CD5B-4DC3-9A44-A2D6F3BE69AE}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe => Нет файла
FirewallRules: [{948A72E3-5171-484B-8EB2-2D6B57D85F51}] => (Allow) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
FirewallRules: [{4B3B93C7-3056-4908-8A10-4CAEE342ABB6}] => (Allow) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
FirewallRules: [{4F127688-E194-4D57-9CA4-C5C6FF5F17D7}] => (Block) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
FirewallRules: [{275E831A-656F-4E40-9446-40AA7E324FA7}] => (Block) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Moonbeam 0]

Готово...

Fixlog.txt

[thyrex 1 418]

Проблема решена?

[regist 618]

7 часов назад, Moonbeam сказал:

Когда собирал CollectionLog - да, антивирус отключал.

У вас почему-то не создались логи AVZ. Просьба

1) Попробуйте ещё раз собрать логи Автологером. Можете самостоятельно проверить в CollectionLog наличие файла virusinfo_syscheck.zip.

2) Если его там не будет (либо чтобы не затягивать можете просто в любом случае сразу попробовать) откройте AVZ - Стандартные скрипты- поставить галочку у №2 - выполнить скрипт и посмотреть создаться ли архив.

[Moonbeam 0]

Вроде сделал все правильно) Файл нашел. 

Проблема решена или нет не понял еще. Вчера скрипт запустил и сразу выключил пк. Сегодня опять собрал данные и выключу. Сообщение о вирусе появляется не сразу, со временем. Напишу на днях, поработаю подольше. 

 

CollectionLog-2023.10.11-15.03.zip

Изменено 11 октября, 2023 пользователем Moonbeam

[thyrex 1 418]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Moonbeam 0]

Получилось, нашел...

SecurityCheck.txt

[thyrex 1 418]

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Internet Security v.21.3.10.391 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
WinSCP 5.21.8 v.5.21.8 Внимание! Скачать обновления

по возможности исправьте указанное, и на этом закончим.

[Moonbeam 0]

NVIDIA и WinSCP обновил, а KIS как? не могу понять. Перехожу по ссылке и скачиваю такой же файл, как и в прошлый раз качал и устанавливал антивирус. 

[thyrex 1 418]

Написано

4 часа назад, thyrex сказал:

по возможности