[РЕШЕНО] Trojan.Multi.GenAutorunReg.a как удалить?

[Илья771]

В мониторинге активности  в Kaspersky Internet Security появляются следующие сообщения

 

Событие: Обнаружен вредоносный объект
Пользователь: LAPTOP-6E6IL8NS\ivano
Тип пользователя: Активный пользователь
Компонент: Антивирусная проверка
Результат: Обнаружено
Описание результата: Обнаружено
Тип: Троянская программа
Название: Trojan.Multi.GenAutorunReg.a
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: System Memory
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 09.11.2023 4:59:00

 

После лечения и перезагрузки при выполнении полной проверки написано, что угроз не обнаружено, но через некоторое время троян снова появляется

 

Ссылка на лог (не нашел как прикрепить файлом) https://drive.google.com/file/d/1VA9HPyE1nDvZylA_nbNCMldgjeijKm1c/view?usp=sharing

[thyrex]

В окне написания сообщений есть кнопка выбора файлов. С её помощью и нужно прикрепить логи.

[Илья771]

В мониторинге активности  в Kaspersky Internet Security появляются следующие сообщения

 

Событие: Обнаружен вредоносный объект
Пользователь: LAPTOP-6E6IL8NS\ivano
Тип пользователя: Активный пользователь
Компонент: Антивирусная проверка
Результат: Обнаружено
Описание результата: Обнаружено
Тип: Троянская программа
Название: Trojan.Multi.GenAutorunReg.a
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: System Memory
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 09.11.2023 4:59:00

CollectionLog-2023.11.09-20.53.zip

После лечения и перезагрузки при выполнении полной проверки написано, что угроз не обнаружено, но через некоторое время троян снова появляется

 

CollectionLog-2023.11.09-20.53.zip

 

Сообщение от модератора thyrex

Темы объединены

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Илья771]

Результаты сканированияscan.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-753717227-3603124904-976774253-1001\...\MountPoints2: {3f2c41f2-3bd1-11ec-900f-04d4c4e8a602} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-753717227-3603124904-976774253-1001\...\MountPoints2: {3fc559ac-262c-11eb-8fdb-04d4c4e8a602} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-753717227-3603124904-976774253-1001\...\MountPoints2: {7cb595ba-e519-11eb-8ff8-04d4c4e8a602} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-753717227-3603124904-976774253-1001\...\MountPoints2: {a66b3716-c66e-11ed-9081-04d4c4e8a602} - "E:\setup.exe" 
HKU\S-1-5-21-753717227-3603124904-976774253-1001\...\MountPoints2: {eed70503-cdb6-11eb-8ff6-7cb27d064628} - "D:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
FirewallRules: [{95DFF8DE-A460-45B2-8467-236CE04C671A}] => (Allow) C:\steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{F04BF069-C21B-4195-8C9F-F688D203861E}] => (Allow) C:\steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{422E9685-C9E8-48CD-8C5F-5ED12CFC2B20}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{66A46F29-4E39-4826-B5CA-263CA0909EDB}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{6C53FC25-7D1A-4660-8DB5-AA320805AA00}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.89.3403.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{37836063-AA9E-4072-BFD5-6234CA85DE12}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.89.3403.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{719C6918-A8F5-4050-B1A1-E9D3AA31BC81}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.89.3403.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{C6D14219-324F-481B-BEE3-2B83ACE4DA39}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.89.3403.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{882F8887-21B2-42F7-BE75-FFA5A58290A1}] => (Allow) LPort=8030
FirewallRules: [{A4E85DB4-6239-4F97-A7C7-947AD126FC85}] => (Allow) LPort=8030
FirewallRules: [{9A073C85-4467-4639-BAE8-EAF1958EBF77}] => (Allow) LPort=8030
FirewallRules: [{1D4F8ABB-0B01-446E-A3CF-B53BE06CB4CD}] => (Allow) LPort=8030
FirewallRules: [{B258A40B-6ACB-42DD-A1BC-576427EE3488}] => (Allow) LPort=8030
FirewallRules: [{04101514-CD44-4858-AF40-44B005064C87}] => (Allow) LPort=8030
FirewallRules: [{7E2D2B44-D134-4B6D-A389-D9BB14F7C9B1}] => (Allow) LPort=8030
FirewallRules: [{A078C16F-2DBA-481F-9C56-AAE9FF214F81}] => (Allow) LPort=8030
FirewallRules: [{C167BE27-B5B0-4DCF-B86D-0DD0252C33A8}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_3.1.9.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{34290F57-DBB3-47B0-91E9-F7CEBC9B7574}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_3.1.9.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{36EA1B4F-D843-43A1-8EE7-AD6260F6D3A2}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_3.1.9.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{66E7F7CB-6DD1-4AB8-B3F7-B4609CBF2082}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_3.1.9.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{8320D561-93BF-416A-A176-0FFDCA8FB4D2}] => (Allow) LPort=8030
FirewallRules: [{A5FB97F7-21A4-4A9F-9EA9-63EC19C40A4B}] => (Allow) LPort=8030
FirewallRules: [{1E817494-6B14-44BD-A5D5-23AA944BB833}] => (Allow) LPort=8030
FirewallRules: [{480F448A-1169-493E-B843-E05B51B4C429}] => (Allow) LPort=8030
FirewallRules: [{C7366E37-3EDA-42BA-943A-46E2F12113D0}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.95.3409.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{D2C115E7-65A2-40A7-8D71-8CFF2E878DF2}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.95.3409.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{C6228809-8F18-4E45-9269-C83758DB6290}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.95.3409.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{3841FA60-2AF0-4798-B6C6-CA7D00957DF5}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.95.3409.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{BC9F0DD5-5998-45E1-9FD1-405F7F86460B}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.97.3404.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{F3320888-F46F-4759-864D-9E726BD3CC2D}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.97.3404.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{73C11BEF-BD4A-4F18-BEAA-9F996782EA84}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.97.3404.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{D534369A-777A-4903-8BDA-B04084FAB8CD}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.97.3404.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите результат.
 

[Илья771]

в ходе полной проверки троян не был обнаруженFixlog.zipлог касперский.zip

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Илья771]

SecurityCheck.zip

[thyrex]

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Internet Security v.21.3.10.391 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.40.1 Внимание! Скачать обновления
PuTTY release 0.78 (64-bit) v.0.78.0.0 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Python 3.7.7 (64-bit) v.3.7.7150.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
GIMP 2.10.34 v.2.10.34 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.12.9 (10650) Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.0.0.10 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

по возможности исправьте указанное, и на этом закончим

[Илья771]

Спасибо большое! Повторно троян не появлялся

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".