Перейти к содержанию
Правила раздела
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

[РЕШЕНО] Поймал Trojan.Multi.GenAutorunTask.c/a

evgeniyy

Автор evgeniyy,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

evgeniyy

evgeniyy 0

Опубликовано
Опубликовано

Здравствуйте, поймал где-то крайне неприятную штуку Trojan.Multi.GenAutorunTask.c

Найти его смог через virus removal tool, после попыток лечить вирус, он все равно появляется. При поиске вируса в безопасном режиме, выскакивал уже Trojan.Multi.GenAutorunTask.a

Отражается их влияние на работе интернета. Он постоянно обрывается или крайне сильно тормозит. Может некоторое время работать, а потом тупо перестать. 

 

Так же при поиске через KVRT выскакивало HEUR:Trojan.Multi.StartPage.h на пару с вышеописанными.

 

zip-архив с собранными логами прикладываю. Надеюсь на помощь.

 

CollectionLog-2024.02.05-21.46.zip

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты
evgeniyy

evgeniyy 0

Опубликовано
  • Автор
Опубликовано
12 часов назад, safety сказал:

подготовьте, пожалуйста, дополнительные логи:

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Сделал. Логи + образ автозапуска.

DESKTOP-8RSM5AU_2024-02-06_15-45-15_v4.15.1.7z Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано (изменено)

Судя по логу Windef в основном реагировал на запуск uVS - не любят наши русские антивирусные утилиты.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже: 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://WWW.APEHA.RU
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\FAR CRY 1.4+MODS\FAR CRY V1.4 + 12 TRAINER.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\GAMES\TOWER OF FANTASY\HOTTA\BINARIES\WIN64\KSOPHON_X64.SYS
delref F:\SETUP.EXE
delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

обновите скрипт.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
evgeniyy

evgeniyy 0

Опубликовано
  • Автор
Опубликовано
34 минуты назад, safety сказал:

Судя по логу Windef в основном реагировал на запуск uVS - не любят наши русские антивирусные утилиты.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже: 


;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://WWW.APEHA.RU
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\FAR CRY 1.4+MODS\FAR CRY V1.4 + 12 TRAINER.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\GAMES\TOWER OF FANTASY\HOTTA\BINARIES\WIN64\KSOPHON_X64.SYS
delref F:\SETUP.EXE
delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

обновите скрипт.

Все сделал. Просканировал через KVRT последней версии, пока ничего не нашел, но в прошлые разы у меня троян появлялся тоже заново не сразу.
Единственное, не совсем понял касаемо последнего пункта "обновите скрипт". Необходимо выполнить еще раз?

2024-02-06_17-17-23_log.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано
5 hours ago, evgeniyy said:

Единственное, не совсем понял касаемо последнего пункта "обновите скрипт". Необходимо выполнить еще раз?

Нет, просто после публикации скрипта, я через небольшое время внес исправление в него, второй раз не надо его выполнять, по логу вижу, чтобы вы именно обновленный скрипт запускали.

 

Далее,

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты
evgeniyy

evgeniyy 0

Опубликовано
  • Автор
Опубликовано
49 минут назад, safety сказал:

Нет, просто после публикации скрипта, я через небольшое время внес исправление в него, второй раз не надо его выполнять, по логу вижу, чтобы вы именно обновленный скрипт запускали.

 

Далее,

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Сделал.

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано

По возможности обновите перечисленное ПО:

 

AMD Software v.19.10.16 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.21.0.36 v.3.21.0.36 Внимание! Скачать обновления
BCUninstaller v.4.15.0.42702 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.3.1.8 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.47006 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 15.4.0 Full v.15.4.0 Внимание! Скачать обновления

CCleaner v.6.20 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 101

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Valentin1
      Как удалить mem:trojan.win32.sepeh.gen
      От Valentin1
      Появилось вредоносное ПО mem:trojan.win32.sepeh.gen. При каждой попытке вылечить с помощью Kaspersky Standart, появляется заново. 
      CollectionLog-2024.07.23-01.26.zip
    • sassavech
      [РЕШЕНО] MEM:Trojan.win32.SEPEH.gen
      От sassavech
      Касперским был обнаружен вирус MEM:Trojan.win32.SEPEH.gen, антивирусом не удаляется и после перезагрузки появляется вновь.
      вот логи
      CollectionLog-2024.07.14-19.06.zip
    • Musgravite
      [РЕШЕНО] Неудаляемый Chromium.page.malware
      От Musgravite
      Доброго времени суток. Проблема схожа с предыдущим запросом: 
      По всей видимости, проблема начала проявлять себя после установления програм без наблюдения антивирусников =/
      Использовать ультилиту начал после частых экстренных перезагрузок ПК, а когда ПК начал отключаться на длительное время, попробовал мягко переустановить Win11 через Центр обновления, но не помогло. Не осмелился самостоятельно использовать рекомендованные в подобном случае утилиты, ибо не уверен в своем опыте на этот счет. Заранее благодарю!

      CollectionLog-2024.07.11-17.55.zip
      AdwCleaner[S00].txt
    • Гоша77рус
      блокировка игры и сайта
      От Гоша77рус
      SecurityCheck by glax24 & Severnyj v.1.4.0.57 [24.01.24]
      WebSite: www.safezone.cc
      DateLog: 08.07.2024 04:49:07
      Path starting: C:\Users\kisya\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
      Log directory: C:\SecurityCheck\
      IsAdmin: True
      User: kisya
      VersionXML: 12.36is-07.07.2024
      ___________________________________________________________________________
      Windows 11(6.3.22631) (x64) Professional Версия: 23H2 Lang: Russian(0419)
      Дата установки ОС: 06.07.2024 14:30:43
      Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
      Режим загрузки: Normal
      Браузер по умолчанию: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
      Системный диск: 😄 ФС: [NTFS] Емкость: [232 Гб] Занято: [108.3 Гб] Свободно: [123.7 Гб]
      ------------------------------- [ Windows ] -------------------------------
      Контроль учётных записей пользователя включен (Уровень 3)
      Центр обеспечения безопасности (wscsvc) - Служба работает
      Удаленный реестр (RemoteRegistry) - Служба остановлена
      Обнаружение SSDP (SSDPSRV) - Служба работает
      Службы удаленных рабочих столов (TermService) - Служба остановлена
      Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
      ---------------------------- [ Antivirus_WMI ] ----------------------------
      Malwarebytes (включен и обновлен)
      Windows Defender (выключен и обновлен)
      Kaspersky (включен и обновлен)
      ---------------------------- [ Firewall_WMI ] -----------------------------
      Kaspersky (включен)
      ---------------------- [ AntiVirusFirewallInstall ] -----------------------
      Malwarebytes version 4.6.9.314 v.4.6.9.314 Внимание! Скачать обновления
      Kaspersky v.21.17.7.539
      --------------------------- [ OtherUtilities ] ----------------------------
      NVIDIA GeForce Experience 3.28.0.417 v.3.28.0.417
      Среда выполнения Microsoft Edge WebView2 Runtime v.126.0.2592.87
      ------------------------------- [ Backup ] --------------------------------
      Microsoft OneDrive v.24.116.0609.0005
      ------------------------------ [ ArchAndFM ] ------------------------------
      WinRAR 7.01 (64-разрядная) v.7.01.0
      -------------------------- [ IMAndCollaborate ] ---------------------------
      Discord v.1.0.9152
      ------------------------------- [ Browser ] -------------------------------
      Google Chrome v.126.0.6478.127
      Microsoft Edge v.126.0.2592.87
      ------------------ [ AntivirusFirewallProcessServices ] -------------------
      Kaspersky Service 21.17 (AVP21.17) - Служба работает
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\avp.exe v.21.4.0.0
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\avpui.exe v.21.17.7.539
      C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.4.0.0.1747
      Malwarebytes Service (MBAMService) - Служба работает
      C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.2.0.1269
      Служба антивирусной программы Microsoft Defender (WinDefend) - Служба остановлена
      Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба остановлена
      последовал примеру вашего совета и вот незнаю что дальше делать, помогите пожалуйста
       
    • Barrrin
      касперский нашел Trojan.Win32.Penguish.bzb
      От Barrrin
      Снова здравствуйте, сегодня антивирус касперский нашел файл Trojan.Win32.Penguish.bzb и удалил его, но для успокоения себя я все таки решил обратиться за помощью. Потому что очень странно откуда появляются трояны, учитывая насколько я осторожно пользуюсь пк и не скачиваю ничего со сторонних сайтов, а только с официальных источников 
      CollectionLog-2024.06.26-15.42.zip
×
×
  • Создать...