Trojan.Multi.GenAutorunProc.a не удалятся. Переставил систему с нуля, появился снова

[ananda]

Касперский ловит троян Trojan.Multi.GenAutorunProc.a в системной памяти. Пробую лечить с перезагрузкой, появляется снова. 

Прочитал темы похожие, тоже использую ADS Browser. 

Переустановка системы не помогает. Первый раз когда обнаружил троян, неделю назад, переставил Windows. Установил с нуля, ничего лишнего не ставил, через неделю появился такой же троян. 

 

Есть логи Kaspersky Virus Removal Tool и GetSystemInfo. Написал в поддержку - отправил логи, ответа пока нет.

CollectionLog-2024.01.22-19.31.zip

[safety]

Добавьте логи из журнала обнаружений антивируса.

+

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Sandor]

Дубль на SZ.

[ananda]

Логи антивируса, Farbar Recovery Scan Tool, образ автозапуска в uVS прикрепил. 

При сканировании uVS были сообщения о подозрительных объектах сделал скрины, прикрепил.

 

Работаю я обычно под обычным пользователем, а логи собирал от имени администратора. Это корректно ? Или надо было все собирать от того пользователя (с обычными правами) под которым работаю ?

 

Тема моя на форуме SZ, извините если это нарушает правила. Могу закрыть ее там.

KAV логи.zip FRST.zip DESKTOP-81AE4QK_2024-01-23_13-51-18_v4.15.1.7z

[safety]

Да, вам надо принять решение, где будете продолжать лечение: здесь или на SZ.

------

в логах можете показать актуальные детекты со стороны антивируса?

Trojan.Multi.GenAutorunProc.a

17.01.2024 19:10:47    System Memory    Не обработано    Объект не обработан    Trojan.Multi.GenAutorunProc.a    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-81AE4QK\denis    Активный пользователь

 

Сегодня, 23.01.2024 3:08:42            Проверка завершена, активных угроз сейчас нет                                        DESKTOP-81AE4QK\denis    Инициатор
Сегодня, 23.01.2024 4:18:04            Проверка завершена, активных угроз сейчас нет                                        DESKTOP-81AE4QK\denis    Инициатор
Сегодня, 23.01.2024 6:28:46            Проверка завершена, активных угроз сейчас нет                                            Не определено
Сегодня, 23.01.2024 13:51:55            Проверка завершена, активных угроз сейчас нет                                            Не определено
Сегодня, 23.01.2024 13:51:56            Проверка завершена, активных угроз сейчас нет                                            Не определено

 

Изменено 23 января, 2024 пользователем safety

[safety]

43 minutes ago, ananda said:

Работаю я обычно под обычным пользователем, а логи собирал от имени администратора. Это корректно

да, это корректно.

 

Quote

При сканировании uVS были сообщения о подозрительных объектах сделал скрины, прикрепил.

это нормально, подозрительный (по каким либо критериям) не обязательно может быть вредоносным.

 

Quote

Полное имя                  C:\PROGRAM FILES\ADSPOWER GLOBAL\ADSPOWER.EXE
Имя файла                   ADSPOWER.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Удовлетворяет критериям     
STARTUP.EXE                 (ССЫЛКА ~ \STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ADSPOWER.LNK

                            

 

Изменено 23 января, 2024 пользователем safety

[ananda]

Закрыл тему на SZ.

Сделал скрины, 22.01.2024 в 17:04, в 17:11, в 17:50 антивирус обнаруживал этот троян. 

 

После обнаружения я лечил вирус. И на какое-то время это помогает. Несколько дней нет угроз. Сейчас при проверки, троян не обнаруживается. 
Я подозреваю что это связано с ADSPower браузером. Но не до конца понимаю - это реакция на сам ADSPower или на конкретную открытую ссылку в нем. 

Пробовал открывать те же самые ссылки на другом ПК macOS, появляется предупреждение при открытии одной из ссылок. Приложил.
 

 

Проверка.txt

[safety]

41 minutes ago, ananda said:

Но не до конца понимаю - это реакция на сам ADSPower или на конкретную открытую ссылку в нем. 

Возможно, это реакция на открытие какой-либо ссылки в сети.

Фишинговые адреса просто добавляются в базу антивируса по доменному имени, или по URL. т.е это отражение внешней угрозы, а не следствие внутреннего заражения системы.

[safety]

1 hour ago, ananda said:

Но не до конца понимаю - это реакция на сам ADSPower или на конкретную открытую ссылку в нем. 

Это можно выяснить опытным путем:

Открывать обычные ссылки в ADSPower, открывать ссылки на которые есть срабатывание. Открывать эти же ссылки в других браузерах.