Перейти к содержанию

[РЕШЕНО] Прилетел Trojan.Multi.GenAutorunProc.a, не могу с ним справиться(


Рекомендуемые сообщения

Здравствуйте! KIS находит Trojan.Multi.GenAutorunProc.a, просит Лечить с перезагрузкой, одобряю, но вылечить не может, после перезагрузки опять находит. KVRT ни чего не нашел. Помогите побороть. Такую тему, тут, находил уже, но не рискую лечить как там, может у меня по другому.

CollectionLog-2023.10.09-18.22.zip

Изменено пользователем Moonbeam
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

А во время сбора первых логов антивирус вы отключали?

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт, AVZ у вас находится по пути: D:\Download\AutoLogger\AutoLogger\AV\av_z.exe):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-3));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Очистите отчеты антивируса с найденными угрозами.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
Task: {D979EC71-B8F9-45B9-A258-E8E69FD7E5F7} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Нет файла
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Нет файла
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Нет файла
FirewallRules: [{0C18C2AC-ED06-4FF9-AC3B-794AFAB59F1A}] => (Block) C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe => Нет файла
FirewallRules: [{84FC62BA-358C-4BC9-84CA-494A91A4EFBA}] => (Block) C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe => Нет файла
FirewallRules: [UDP Query User{6554469B-3888-4891-9C91-0D53E3F8CFD8}C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe => Нет файла
FirewallRules: [TCP Query User{D514B2EC-BDBC-41A8-8A68-2D1C1F058302}C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_6.2c_windows\phoenixminer.exe => Нет файла
FirewallRules: [UDP Query User{C198D0B6-5491-4217-939D-A53C4F977850}C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows\phoenixminer.exe => Нет файла
FirewallRules: [TCP Query User{FE63981D-3AEE-4AE9-99C4-041FCCA1DA57}C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows\phoenixminer.exe => Нет файла
FirewallRules: [{779DD05F-5B7D-4007-83CB-C44B4A120DFE}] => (Block) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe => Нет файла
FirewallRules: [{689D27B0-DC41-4422-8869-7EE23921C467}] => (Block) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe => Нет файла
FirewallRules: [UDP Query User{B71C25FE-E453-4CF7-8B22-BB1ED7CDF855}C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe => Нет файла
FirewallRules: [TCP Query User{B8221C48-146A-487A-8A9E-948C2C7E3DB6}C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe] => (Allow) C:\users\st.dmitrius\desktop\майнер\phoenixminer_5.5c_windows_amd_nvidia.password-phoenix\phoenixminer_5.5c_windows_amd_nvidia (password-phoenix)\phoenixminer.exe => Нет файла
FirewallRules: [{C48A6186-A23D-431F-899B-94C5BF623473}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe => Нет файла
FirewallRules: [{C57A1FAA-CD5B-4DC3-9A44-A2D6F3BE69AE}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe => Нет файла
FirewallRules: [{948A72E3-5171-484B-8EB2-2D6B57D85F51}] => (Allow) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
FirewallRules: [{4B3B93C7-3056-4908-8A10-4CAEE342ABB6}] => (Allow) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
FirewallRules: [{4F127688-E194-4D57-9CA4-C5C6FF5F17D7}] => (Block) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
FirewallRules: [{275E831A-656F-4E40-9446-40AA7E324FA7}] => (Block) C:\Program Files (x86)\Overwolf\0.233.1.2\OverwolfBrowser.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, Moonbeam сказал:

Когда собирал CollectionLog - да, антивирус отключал.

У вас почему-то не создались логи AVZ. Просьба

1) Попробуйте ещё раз собрать логи Автологером. Можете самостоятельно проверить в CollectionLog наличие файла virusinfo_syscheck.zip.

2) Если его там не будет (либо чтобы не затягивать можете просто в любом случае сразу попробовать) откройте AVZ - Стандартные скрипты- поставить галочку у №2 - выполнить скрипт и посмотреть создаться ли архив.

Ссылка на сообщение
Поделиться на другие сайты

Вроде сделал все правильно) Файл нашел. 

Проблема решена или нет не понял еще. Вчера скрипт запустил и сразу выключил пк. Сегодня опять собрал данные и выключу. Сообщение о вирусе появляется не сразу, со временем. Напишу на днях, поработаю подольше. 

 

CollectionLog-2023.10.11-15.03.zip

Изменено пользователем Moonbeam
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

---------------------- [ AntiVirusFirewallInstall ] -----------------------


Kaspersky Internet Security v.21.3.10.391 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
WinSCP 5.21.8 v.5.21.8 Внимание! Скачать обновления

по возможности исправьте указанное, и на этом закончим.

Ссылка на сообщение
Поделиться на другие сайты

NVIDIA и WinSCP обновил, а KIS как? не могу понять. Перехожу по ссылке и скачиваю такой же файл, как и в прошлый раз качал и устанавливал антивирус. 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Borova
      От Borova
      Прошу помощи , на виндовс 7 пк заразился трояном RenderCraft а также неправильно ведет себя утилита fc.exe , оба процесса запускаются после 30 секунд от включения пк и начинают грузить систему ( и ОЗУ и ЦП )  , RenderCraft работает пару десятков секунд ( примерно 40) и исчезает из процессов ,  а fc.exe стабильно грузит систему никуда не уходит. изначально попробовал решить проблему самостоятельно с помощью KVRT и AV BR ,  но ничего не помогло , в итоге начал искать решение в интернете , нашел только один сайт на этом же форуме где было предоставлено решение от господина Sandor . Начал делать все как в случае с Дамир 95 . 
      Но к сожелению ничего не помогло , (  строго додерживался всех инструкций  ) но без положительного результата. Ни один процес не ушел . ПРОШУ ПОМОГИТЕ !
      Все максимально подробно описать не могу ( имеется в виду мое полное исполнение действий и рекомендаций от Sandor  , не все получалось так как в писал Sandor , к примеру так не вышло если в Farbar Recovery Scan Tool я нажал кнопку исправить и в человека вышло все нормально а в меня выдало ошибку " не удается найти файл fixlist.txt " а автоматически у меня ничего не создало . если сам создам текстовый файл напишу то понятно , что там начнет исправлять и исправит пустоту , ведь там в списке ничего нет , а я не знаю что туда вводить , в итоге исправить ничего не вышло . помогите пожалуйста . 
    • kptsv
      От kptsv
      Добрый день.
      Kaspersky Security для Windows Server 10.1.2.996 выдает сообщение, что обнаружены троянские программы HEUR:Trojan.MSIL.Inject.gen и HEUR:Trojan.Win32.Strab.gen. Проверка kvrt ничего не нашла. Dr.Web CureIt тоже ничего не нашел.
      Сообщение заносится в журнал каждый час. Как избавиться от напасти?
      CollectionLog-2024.02.29-08.17.zip kaspersky_log.csv.zip
    • Kaross
      От Kaross
      Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать? Помогите, пожалуйста, буду признателен!

    • boooba
      От boooba
      Здравствуйте, скачала кряк приложения, вылезли вирусы и троян, вирусы удалились, а вот троян завис в защитнике windows. Сам торрент, указанный в качестве корневой папки, удалила, защитник все равно ведет на него. Никакими антивирусниками не пользуюсь  


    • DeatherWill
      От DeatherWill
      Здравствуйте, антивирус Касперского несколько раз
      обнаружил указанный вирус, но в отчетах указано,
      что проблема не была решена.
       
      Также в папке пользователя на диске С сразу после
      первого обнаружения вируса появился системный
      файл NTUSER.DAT. Раньше его там не было.
       
      Логи приложил. Проверил компьютер рекомендуемыми
      в правилах форума программами — не обнаружили вируса,
      но он есть
       
      Помогите, пожалуйста, решить проблему желательно
      без полной переустановки системы.
       
      Также я не очень разбираюсь в компьютерах, поэтому
      если от меня нужно будет совершить какие-либо действия,
      то, пожалуйста, опишите по пунктам


      CollectionLog-2024.02.26-06.13.zip
×
×
  • Создать...