Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Trojan.Siggen31.46344 в Temp

Dared

Автор Dared
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Dared

Dared

Опубликовано
Опубликовано

Брандмауэр начал ругаться на подозрительный файл, курсор начал сдвигаться в центр экрана при перемещениях. Просканировал Dr.CureIt показал Trojan.Siggen31.46344 в Temp. Выполнял лечение , не помогло, после перезагрузки проблема возвращается.

CollectionLog-2026.03.22-10.45.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\dizzl\appdata\local\temp\310hkrikw1h0uuqzkvzi2qlb5qf\setup.exe');
 TerminateProcessByName('c:\users\dizzl\appdata\roaming\utorrent\utorrentweb.exe');
 QuarantineFile('c:\users\dizzl\appdata\local\temp\310hkrikw1h0uuqzkvzi2qlb5qf\setup.exe', '');
 QuarantineFile('c:\users\dizzl\appdata\roaming\utorrent\utorrentweb.exe', '');
 DeleteSchedulerTask('OperaUpdate');
 DeleteSchedulerTask('UpdateTorrent');
 DeleteFile('c:\users\dizzl\appdata\local\temp\310hkrikw1h0uuqzkvzi2qlb5qf\setup.exe', '');
 DeleteFile('c:\users\dizzl\appdata\roaming\utorrent\utorrentweb.exe', '');
 DeleteFile('C:\Users\dizzl\AppData\Roaming\utorrent\UtorrentWeb.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

  

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. Дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
CreateRestorePoint:
ProxyServer: [S-1-5-21-1278902002-1035649873-423225684-1001] => 127.0.0.1:10801
RemoveProxy:
C:\Users\dizzl\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hbolidelldganpcepaaiammbifmnpknn
C:\Users\dizzl\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hhdgheopigdjpcnafomefmoejmbekhhj
C:\Users\dizzl\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jkbbfjdggojhlbcecfkinacmldaojgbn
C:\Users\dizzl\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\aogdgoinekmeecbojnfjpfjgonejcdda
S1 dngxcfmc; \??\C:\Windows\system32\drivers\dngxcfmc.sys [X]
S1 ffdbtrkn; \??\C:\Windows\system32\drivers\ffdbtrkn.sys [X]
S1 mlwthwel; \??\C:\Windows\system32\drivers\mlwthwel.sys [X]
S1 njqcmbjk; \??\C:\Windows\system32\drivers\njqcmbjk.sys [X]
FirewallRules: [{0C9CA6FC-060F-4546-B354-D9D07B60704D}] => (Allow) C:\Users\dizzl\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{B57359CE-2E6A-4C83-A734-5B5AF54B4851}] => (Allow) C:\Users\dizzl\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{347528CF-17C3-4BBE-80A2-CB3628FE8AA7}C:\users\dizzl\appdata\local\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\dizzl\appdata\local\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [UDP Query User{DEBD00B4-401F-417C-8A66-28931CA7175D}C:\users\dizzl\appdata\local\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\dizzl\appdata\local\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [{74961EC2-5063-42C3-9E5A-4216F73C8066}] => (Block) C:\users\dizzl\appdata\local\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [{E0B1139C-17AA-4C8E-B8A4-CC475DB5AECA}] => (Block) C:\users\dizzl\appdata\local\mediaget2\qtwebengineprocess.exe => Нет файла
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Dared

Dared

Опубликовано
  • Автор
Опубликовано

Запускать в AVZ? Не дает в нем запустить, ошибку скрипта в позиции 1:1 дает

 

Разобрался

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. Что сейчас с проблемой?

Dared

Dared

Опубликовано
  • Автор
Опубликовано

Все решилось, спасибо💥Dr.Web угроз не выявил

Sandor

Sandor

Опубликовано
Опубликовано

Отлично!

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Подумайте о переходе на актуальную версию системы:

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
 

Исправьте по возможности:

CPUID CPU-Z 2.15 v.2.15 Внимание! Скачать обновления
FileZilla 3.67.0 v.3.67.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
WinRAR 5.80 beta 1 (64-bit) v.5.80.1 Внимание! Скачать обновления
Discord v.1.0.9188 Внимание! Скачать обновления
Telegram Desktop v.6.4.2 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u481-windows-x64.exe - Windows Offline (64-bit))^
Microsoft Edge v.146.0.3856.62 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
Yandex (All Users) v.25.2.4.954 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

Sandor

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Bloodii
      Trojan:MSIL/Injector.AH!MTB
      Автор Bloodii
      Через временные промежутки выскакивает обнаружение. Первый скрин долбит комп.



      HOME-PC_2026-05-04_10-04-51_v5.0.5v x64.7z
    • mkukgh
      [РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen
      Автор mkukgh
      Добрый день. Каспер находит сабж, но не устраняет проблему, долго ждал после предложения лечить с перезагрузкой, но без результата, сейчас каспер находит угрозы в файлах windows\system32\winlogon.exe и svchost.exe на скриншоте, устранять или нет? файлы системный критичные, боюсь нажимать "устранить". Логи приложил. Спасибо.

      CollectionLog-2026.04.10-14.28.zip
    • BReDD
      Trojan:PowerShell/Bynoco. RR!amc
      Автор BReDD
      Подскажите плз, активатором KMS запустил майнера и этого гада (Trojan:PowerShell/Bynoco.RR!ams) на свой ПК с ОС Win 10х64. C помощью KRD вычистил зловредов, нашел кучу исключений в Windows Defender, удалил все. Так же капитально вычистил планировщик и автозапуск. Не трогал лишь службы, но там ничего криминального не заметил. Вроде все норм, проверка показывает, что ничего нет, но комп стал медленнее грузиться и значки на панели и в трее стали выходить с задержкой 3-5 минут. Чувствую, что где тоеще хвосты есть, возможно в реестре, но не могу найти. Создание нового юзера тоже ничего не дало. Есть ли средство, как убрать последствия за этим трояном?
       
      Сообщение от модератора thyrex Перенесено из темы
    • Mikhazen
      Скачал вирус "Trojan.Python.Obfus.f"
      Автор Mikhazen
      Что мне делать. Кинули ссылку и скачался файл, открыл его в Пайтон 3.14.... закинул на вирус тотал и мне Касперский кинул детект. Trojan.Python.Obfus.f . на сайте Касперского пишет такое, что обращался к именам 
       
      BSS:Trojan.Win32.Generic
       
      HEUR:Trojan-Dropper.Python.Obfus.gen
       
      Trojan.Python.Agent.og
       
      Я удалил сам текстовый файл crypted.py, но память начала грузиться до 50%, антималвэйр на цп ≈10-20 процентов кидает. Что делать? Есть ли способ без сноса винды? Т.к. там все файлы по работе
    • Artemnehacker
      поймал вирус стилер через анидеск
      Автор Artemnehacker
      Я был на проверке читов в майнкрафте через андисек мне закинули мне вредоносную програму предварительно отключив антивирус. После проверки читов, я запустил антивирус обратно (windows defender) после чего мне высветилсь плашка readme и потом (windows defender) удалил вирус , часть файлов было зашифровано в формате TOK, и украдены сеансы дискорд телеграм. Спустя 2 недели начала шалить винда, и появляться черные квадраты на обоях + начала нагриватся видеокарта. Хочу проверить удалил ли я вирус. 
      CollectionLog-2026.03.27-14.23.zip
×
×
  • Создать...