Перейти к содержанию

[РЕШЕНО] Прилетел Trojan.Multi.GenAutorunProc.a, не могу с ним справиться(


Moonbeam

Рекомендуемые сообщения

Здравствуйте! KIS находит Trojan.Multi.GenAutorunProc.a, просит Лечить с перезагрузкой, одобряю, но вылечить не может, после перезагрузки опять находит. KVRT ни чего не нашел. Помогите побороть. Такую тему, тут, находил уже, но не рискую лечить как там, может у меня по другому.

CollectionLog-2023.10.09-18.22.zip

Изменено пользователем Moonbeam
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

А во время сбора первых логов антивирус вы отключали?

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт, AVZ у вас находится по пути: D:\Download\AutoLogger\AutoLogger\AV\av_z.exe):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-3));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Очистите отчеты антивируса с найденными угрозами.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
Task: {D979EC71-B8F9-45B9-A258-E8E69FD7E5F7} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Нет файла
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Нет файла
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Нет файла
FirewallRules: [{0C18C2AC-ED06-4FF9-AC3B-794AFAB59F1A}] => (Block) C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe => Нет файла
FirewallRules: [{84FC62BA-358C-4BC9-84CA-494A91A4EFBA}] => (Block) C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe => Нет файла
FirewallRules: [UDP Query User{6554469B-3888-4891-9C91-0D53E3F8CFD8}C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe => Нет файла
FirewallRules: [TCP Query User{D514B2EC-BDBC-41A8-8A68-2D1C1F058302}C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe => Нет файла
FirewallRules: [UDP Query User{C198D0B6-5491-4217-939D-A53C4F977850}C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows\phoenixminer.exe => Нет файла
FirewallRules: [TCP Query User{FE63981D-3AEE-4AE9-99C4-041FCCA1DA57}C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows\phoenixminer.exe => Нет файла
FirewallRules: [{779DD05F-5B7D-4007-83CB-C44B4A120DFE}] => (Block) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe => Нет файла
FirewallRules: [{689D27B0-DC41-4422-8869-7EE23921C467}] => (Block) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe => Нет файла
FirewallRules: [UDP Query User{B71C25FE-E453-4CF7-8B22-BB1ED7CDF855}C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe => Нет файла
FirewallRules: [TCP Query User{B8221C48-146A-487A-8A9E-948C2C7E3DB6}C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe => Нет файла
FirewallRules: [{C48A6186-A23D-431F-899B-94C5BF623473}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe => Нет файла
FirewallRules: [{C57A1FAA-CD5B-4DC3-9A44-A2D6F3BE69AE}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe => Нет файла
FirewallRules: [{948A72E3-5171-484B-8EB2-2D6B57D85F51}] => (Allow) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
FirewallRules: [{4B3B93C7-3056-4908-8A10-4CAEE342ABB6}] => (Allow) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
FirewallRules: [{4F127688-E194-4D57-9CA4-C5C6FF5F17D7}] => (Block) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
FirewallRules: [{275E831A-656F-4E40-9446-40AA7E324FA7}] => (Block) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, Moonbeam сказал:

Когда собирал CollectionLog - да, антивирус отключал.

У вас почему-то не создались логи AVZ. Просьба

1) Попробуйте ещё раз собрать логи Автологером. Можете самостоятельно проверить в CollectionLog наличие файла virusinfo_syscheck.zip.

2) Если его там не будет (либо чтобы не затягивать можете просто в любом случае сразу попробовать) откройте AVZ - Стандартные скрипты- поставить галочку у №2 - выполнить скрипт и посмотреть создаться ли архив.

Ссылка на комментарий
Поделиться на другие сайты

Вроде сделал все правильно) Файл нашел. 

Проблема решена или нет не понял еще. Вчера скрипт запустил и сразу выключил пк. Сегодня опять собрал данные и выключу. Сообщение о вирусе появляется не сразу, со временем. Напишу на днях, поработаю подольше. 

 

CollectionLog-2023.10.11-15.03.zip

Изменено пользователем Moonbeam
Ссылка на комментарий
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты

---------------------- [ AntiVirusFirewallInstall ] -----------------------


Kaspersky Internet Security v.21.3.10.391 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
WinSCP 5.21.8 v.5.21.8 Внимание! Скачать обновления

по возможности исправьте указанное, и на этом закончим.

Ссылка на комментарий
Поделиться на другие сайты

NVIDIA и WinSCP обновил, а KIS как? не могу понять. Перехожу по ссылке и скачиваю такой же файл, как и в прошлый раз качал и устанавливал антивирус. 

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Belzak
      От Belzak
      Здравствуйте, у меня такая- же проблема, вот мой файл
      WIN-GSIH82VECDJ_2024-10-11_22-13-38_v4.99.2v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • monwron
      От monwron
      В процессе установки антивируса просит перезагрузить пк, перезагружаю, продолжаю установку антивируса и далее его нет НИГДЕ в системе. Ремоут тулом пк проверял, чето там нашел и удалил, но проблему не решило
      Помогите пожалуйста!
       
      CollectionLog-2024.11.15-02.50.zip
      FRST.txt Addition.txt
    • Павел11
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • dogmos
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
    • NaaR
      От NaaR
      Добрый день!
      Не получается самостоятельно удалить HEUR:Trojan.Multi.GenBadur.genw . После перезагрузки обнаруживается снова.
      Буду признателен за помощь. Спасибо.CollectionLog-2024.11.01-17.38.zip
×
×
  • Создать...