Перейти к содержанию
Правила раздела
Новый формат Telegram-канала клуба – чат‑форум. Обсуждение продуктов, техническая помощь, викторины и клубные активности – всё в одном месте и по темам. Присоединяйтесь и будьте в центре жизни клуба!

Trojan.Siggnet31.46344

Mikhail159

Автор Mikhail159
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Mikhail159

Mikhail159

Опубликовано
Опубликовано

Здраствуйте. Проблема такая:

После каждой перезагрузки компьютера пока не пытаюсь открыть какой либо файл либо програму все нормально. Но как только открываю файл либо программу выскакивет сообщение DrWeb об обезвреживании

трояна Trojan.Siggnet31.46344 и помещении его в карантин. 

Прикладываю лог.

CollectionLog-2025.08.09-10.37.zip

Mikhail159

Mikhail159

Опубликовано
  • Автор
Опубликовано
39 минут назад, Mikhail159 сказал:

Здраствуйте. Проблема такая:

После каждой перезагрузки компьютера пока не пытаюсь открыть какой либо файл либо програму все нормально. Но как только открываю файл либо программу выскакивет сообщение DrWeb об обезвреживании

трояна Trojan.Siggnet31.46344 и помещении его в карантин. 

Прикладываю лог.

CollectionLog-2025.08.09-10.37.zip 124.49 kB · 0 загрузок

Объект app.dll

C:\Users\mike\AppData\Local\Temp\nseA3A3.tmp\7z-out\resources\app.asar.unpacked\dist\electron\assets\app.dll

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\users\mike\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe');
 QuarantineFile('c:\users\mike\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe','');
 DeleteFile('c:\users\mike\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe','32');
TerminateProcessByName('c:\users\mike\appdata\roaming\utorrent\utorrentweb.exe');
 DeleteFile('c:\users\mike\appdata\roaming\utorrent\utorrentweb.exe','32');
 DeleteSchedulerTask('UpdateTorrent');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Mikhail159

Mikhail159

Опубликовано
  • Автор
Опубликовано

Спасибо. Отправил письмом, потомучто quarantine.7z весил больше 20 мб.

thyrex

thyrex

Опубликовано
Опубликовано

Теперь это

14 минут назад, thyrex сказал:

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: {381A6A38-FE76-4B26-AB7A-17A1050C1338} - System32\Tasks\Microsoft\Windows\Clip\ClipESU => %SystemRoot%\system32\clipesu.exe  (Нет файла)
Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe  (Нет файла)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Нет файла)
Task: {31AEDF39-09A5-4363-B059-B155B4C8AB34} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_LogonUpdateResults => %systemroot%\system32\MusNotification.exe  LogonUpdateResults (Нет файла)
Task: {AF26A277-44A3-4AB0-8715-2E10580610D2} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC ReadyToReboot (Нет файла)
Task: {3A2AA366-46A3-402A-A59B-4D849A82B892} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery ReadyToReboot (Нет файла)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
CHR HKLM-x32\...\Chrome\Extension: [blgipgnbmnikbdecnjmgckmndlkebhid]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [pfhgbfnnjiafkhfdkmpiflachepdcjod]
C:\Users\mike\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\lnmlpphgkglpkgoaccahfeiifdjbfagi
S3 NEPKernel; \??\D:\Games\SpaceNationOnline\NEPKernel.sys [X]
FirewallRules: [{D5583B12-1BC7-4B84-AEED-36F69FF75F4A}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [{49BE7BAD-C85B-410B-B677-3E5EA92DA035}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Нет файла
FirewallRules: [{DADDC742-0626-4386-8FB6-816BFDD0413A}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{ACEBFB01-4796-4DF2-A192-D93C41941C34}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{F7652145-075B-4B75-B198-BFC00BADD9E1}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{ADC32C40-395B-408C-AA90-8CDF803A4A1E}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [TCP Query User{6A79998A-D882-4D0F-BF55-510D681BA482}D:\games\epic games\offthegrid\g01\binaries\win64\g01client-win64-shipping.exe] => (Allow) D:\games\epic games\offthegrid\g01\binaries\win64\g01client-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{31BA5F09-BC02-4BE3-9D93-4E9518842DF0}D:\games\epic games\offthegrid\g01\binaries\win64\g01client-win64-shipping.exe] => (Allow) D:\games\epic games\offthegrid\g01\binaries\win64\g01client-win64-shipping.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Дмитрий Лунгу
      Подхватил вирусы, устанавливающие расширения и открывающих вкладки с рекламой при переходе по ссылкам.
      Автор Дмитрий Лунгу
      В общем, подхватил парочку вирусов скачав игру с непроверенного сайта. Что мог удалил сразу. Запустил Microsoft Defender, Dr web, потом KVRT, удалил все что было найдено. Но в яндексе осталось расширение которого там не было и которое нельзя удалить (в browser://extensions можно, но оно снова устанавливается после перезапуска браузера).  Выключал синхронизацию расширений, и оно больше не возвращалось. Вернул синхронизацию-и вот оно снова установилось. Кроме этого, на сайте, которым уже довольно давно пользуюсь, при переходе по ссылкам иногда стали выскакивать окна с казиношками и т.п.(не знаю связано ли это с вирусом или нет, тк пока встречал только там). Еще несколько раз запускал Dr web и KVRT, но ничего нового не видел.
       
      CollectionLog-2026.02.10-09.53.zip
    • Александр199612345
      vulkaninfo.exe
      Автор Александр199612345
      Такая же проблема, точь в точь, удалить анитивирусом не получается,удаляет, но после проверки снова из находит, вылечить не получается. попробовал вручную удалить тоже не дает, ссылается на то что нужно разрешение от программы Trustedinstaller, которая находится в папке amd64_microsoft-windows…
       
      нужна помощь, хелп
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • afogeroz
      [РЕШЕНО] Фейковый adBlock при каждом запуске системы
      Автор afogeroz
      Здравствуйте! Подцепил фейковый adBlock, пытался удалить самостоятельно, но постоянно возвращается. Пользуюсь в основном только Edge, но недавно устанавливал Mozilla ради расширения, возможно, в то время и подцепил. Каждый запуск системы, браузер Edge сбрасывает вкладки и открывает дзен, также в расширениях постоянно висит этот adBlock и показывает ошибку о загрузке, загружается с manifest.json. Dr.Web ничего связанного с ним не нашел. Логи прикрепляю
      CollectionLog-2026.02.07-17.31.zip
    • Quester1337
      DR.WEB обнаружил вирус vulkaninfo.exe
      Автор Quester1337
      После проверки др веба он нашел 4 вируса и все они подписаны как vulkaninfo... В интернете прочитал, что это может быть для нвидиа когда обновляются драйвера, однако у меня амд, попытался вылечить, но ошибка, удалять пока не смею, т.к. думаю что могут быть ложными срабатывания 
      CollectionLog-2026.02.07-12.25.zip
    • retox
      Dr.Web CureIt не находит, при установки Касперского требует удалить malwarebytes, но я не могу удалить потому что нет разрешения
      Автор retox
      Попался на неприятный вирус который в режиме онлайн времени менял адресс криптокошелька на свой, начал проверять, при установке DrWeb выкидывало с браузера, так же с касперским. Попытался установить malwarebytes(Менял название файла потому что иначе не запускалось), теперь при диагностике показывается вроде все решено, но не могу удалить malwarebytes никак, хотя в службах показывается активная работа. Помогите пожалуйста, есть подозрение что много чего не задетектил


×
×
  • Создать...