Перейти к содержанию

Trojan.Multi.GenAutorunProc.a не удалятся. Переставил систему с нуля, появился снова


Рекомендуемые сообщения

Касперский ловит троян Trojan.Multi.GenAutorunProc.a в системной памяти. Пробую лечить с перезагрузкой, появляется снова. 

Прочитал темы похожие, тоже использую ADS Browser. 

Переустановка системы не помогает. Первый раз когда обнаружил троян, неделю назад, переставил Windows. Установил с нуля, ничего лишнего не ставил, через неделю появился такой же троян. 

 

Есть логи Kaspersky Virus Removal Tool и GetSystemInfo. Написал в поддержку - отправил логи, ответа пока нет.

CollectionLog-2024.01.22-19.31.zip

Ссылка на сообщение
Поделиться на другие сайты

Добавьте логи из журнала обнаружений антивируса.

+

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

Логи антивируса, Farbar Recovery Scan Tool, образ автозапуска в uVS прикрепил. 

При сканировании uVS были сообщения о подозрительных объектах сделал скрины, прикрепил.

 

Работаю я обычно под обычным пользователем, а логи собирал от имени администратора. Это корректно ? Или надо было все собирать от того пользователя (с обычными правами) под которым работаю ?

 

Тема моя на форуме SZ, извините если это нарушает правила. Могу закрыть ее там.

UVS после перезапуска.PNG

UVS до перезапуска.PNG

KAV логи.zip FRST.zip DESKTOP-81AE4QK_2024-01-23_13-51-18_v4.15.1.7z

Ссылка на сообщение
Поделиться на другие сайты

Да, вам надо принять решение, где будете продолжать лечение: здесь или на SZ.

------

в логах можете показать актуальные детекты со стороны антивируса?

Trojan.Multi.GenAutorunProc.a

17.01.2024 19:10:47    System Memory    Не обработано    Объект не обработан    Trojan.Multi.GenAutorunProc.a    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-81AE4QK\denis    Активный пользователь

 

Сегодня, 23.01.2024 3:08:42            Проверка завершена, активных угроз сейчас нет                                        DESKTOP-81AE4QK\denis    Инициатор
Сегодня, 23.01.2024 4:18:04            Проверка завершена, активных угроз сейчас нет                                        DESKTOP-81AE4QK\denis    Инициатор
Сегодня, 23.01.2024 6:28:46            Проверка завершена, активных угроз сейчас нет                                            Не определено
Сегодня, 23.01.2024 13:51:55            Проверка завершена, активных угроз сейчас нет                                            Не определено
Сегодня, 23.01.2024 13:51:56            Проверка завершена, активных угроз сейчас нет                                            Не определено

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
43 minutes ago, ananda said:

Работаю я обычно под обычным пользователем, а логи собирал от имени администратора. Это корректно

да, это корректно.

 

Quote

При сканировании uVS были сообщения о подозрительных объектах сделал скрины, прикрепил.

это нормально, подозрительный (по каким либо критериям) не обязательно может быть вредоносным.

 

Quote

Полное имя                  C:\PROGRAM FILES\ADSPOWER GLOBAL\ADSPOWER.EXE
Имя файла                   ADSPOWER.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                            
Удовлетворяет критериям     
STARTUP.EXE                 (ССЫЛКА ~ \STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                            
Ссылки на объект            
Ссылка                      C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ADSPOWER.LNK


                            

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Закрыл тему на SZ.

Сделал скрины, 22.01.2024 в 17:04, в 17:11, в 17:50 антивирус обнаруживал этот троян. 

 

После обнаружения я лечил вирус. И на какое-то время это помогает. Несколько дней нет угроз. Сейчас при проверки, троян не обнаруживается. 
Я подозреваю что это связано с ADSPower браузером. Но не до конца понимаю - это реакция на сам ADSPower или на конкретную открытую ссылку в нем. 

Пробовал открывать те же самые ссылки на другом ПК macOS, появляется предупреждение при открытии одной из ссылок. Приложил.
 

 

Логи за 22.01.2024.png

Логи за 22.01.2024 (2).png

2024-01-23 16.58.38.jpg

Проверка.txt

Ссылка на сообщение
Поделиться на другие сайты
41 minutes ago, ananda said:

Но не до конца понимаю - это реакция на сам ADSPower или на конкретную открытую ссылку в нем. 

Возможно, это реакция на открытие какой-либо ссылки в сети.

Фишинговые адреса просто добавляются в базу антивируса по доменному имени, или по URL. т.е это отражение внешней угрозы, а не следствие внутреннего заражения системы.

Ссылка на сообщение
Поделиться на другие сайты
1 hour ago, ananda said:

Но не до конца понимаю - это реакция на сам ADSPower или на конкретную открытую ссылку в нем. 

Это можно выяснить опытным путем:

Открывать обычные ссылки в ADSPower, открывать ссылки на которые есть срабатывание. Открывать эти же ссылки в других браузерах.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • futaba-tian
      От futaba-tian
      Добрый вечер!

      Примерно час назад я по невнимательности кликнула на ссылку в сообщение от друга в Стим. К сожалению, друг оказался взломанным, и ссылка вела на опасный сайт. Kaspersky Total Security заблокировал переход, но после быстрой проверки оказалось, что вирус всё-таки попал в систему. Я сразу его удалила (с помощью антивируса), перезагрузила компьютер, провела еще одну проверку (полную) и удалила старые контрольные точки восстановления ОС.

      Сейчас антивирус показывает, что все нормально, но я хотела бы быть уверена, что ничего вредного или его хвостов не осталось. Вы могли бы мне помочь?
       
      Прилагаю необходимые логи к данному запросу.
       
      CollectionLog-2024.06.19-20.15.zip
    • Galem333
      От Galem333
      Здравствуйте,при лечении этих файлов происходит компьютер зависает и появляется черный экран, после перезагрузки вам приходит в норму,но вирусы не лечатся. 


       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь по персональным продуктам".
    • Barrrin
      От Barrrin
      Здравствуйте, позавчера компьютер просто выключился с синим экраном смерти, думал проблема в жестком диске, все проверил все хорошо, думал пройдет просто так пошел играть и просто выдало какую то ошибку что файл игры поврежден и потом опять комп выключился. На след день от антивирусника от windows пишет что обнаружен вирус Trojan:Win64/Reflo.HNS!MTB и его удалить не удается. Скачать программу касперского и показало что якобы проблемыы нет, но мне кажется что вирус сидит в оперативной п амяти, т.к плашки абсолютно хорошо работали до вчерашнего дня и вылазки этой проблемы. Помогите пожалуйста решить данную проблему 
      CollectionLog-2024.06.04-18.24.zip
    • ApploDi
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • larmaswed
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

×
×
  • Создать...