Перейти к содержанию
Правила раздела

Удаление UDS:DangerousObject.Multi.Generic

Мария Мавлюдова

Автор Мария Мавлюдова
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Мария Мавлюдова

Мария Мавлюдова

Опубликовано
Опубликовано

KAV обнаруживает UDS:DangerousObject.Multi.Generic, но на попытки устранить не реагирует никак. 

Kaspersky Virus Removal Tool его не находит.

Логи прилагаю.

CollectionLog-2017.02.18-16.48.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\HhHvxhF.exe','');
 QuarantineFile('C:\Users\Мария\AppData\Roaming\newSI_620\s_inst.exe','');
 QuarantineFile('C:\Users\Мария\AppData\Roaming\newSI_611\s_inst.exe','');
 QuarantineFile('C:\Users\Мария\ReportSender\ReportSender.exe','');
 DeleteFile('C:\WINDOWS\Tasks\newSI_611.job','32');
 DeleteFile('C:\WINDOWS\Tasks\newSI_620.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for VK OK AdBlock.job','32');
 DeleteFile('C:\Users\Мария\ReportSender\ReportSender.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Multimedia\ReportSender','64');
 DeleteFile('C:\Users\Мария\AppData\Roaming\newSI_611\s_inst.exe','32');
 DeleteFile('C:\Users\Мария\AppData\Roaming\newSI_620\s_inst.exe','32');
 DeleteFile('C:\Program Files (x86)\VK OK AdBlock\HhHvxhF.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
Мария Мавлюдова

Мария Мавлюдова

Опубликовано
  • Автор
Опубликовано

KLAN-5820946282

Ответ:

Антивирус Касперского проверил файлы.
Вредоносные программы не найдены в файлах:
ReportSender.exe
Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Новые логи прикреплены.

CollectionLog-2017.02.18-17.57.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1401289371&from=cor&uid=HGSTXHTS721010A9E630_JR10006PGVK4DFGVK4DFX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1401289371&from=cor&uid=HGSTXHTS721010A9E630_JR10006PGVK4DFGVK4DFX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1401289371&from=cor&uid=HGSTXHTS721010A9E630_JR10006PGVK4DFGVK4DFX&q={searchTerms}
HKU\S-1-5-21-2141337335-2679314867-2874535996-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1401289371&from=cor&uid=HGSTXHTS721010A9E630_JR10006PGVK4DFGVK4DFX
SearchScopes: HKU\S-1-5-21-2141337335-2679314867-2874535996-1002 -> 1DA4E9B1F5EFAE00CD7E56CD054A284C URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1401289371&from=cor&uid=HGSTXHTS721010A9E630_JR10006PGVK4DFGVK4DFX&q={searchTerms}
FF Extension: (VK+OK AdBlock) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} [2016-10-15] [not signed]
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKU\S-1-5-21-2141337335-2679314867-2874535996-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\81E4~1\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx [2016-10-19]
CHR HKU\S-1-5-21-2141337335-2679314867-2874535996-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx [2012-09-23]
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR Extension: (Ads Killer) - C:\Users\Мария\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjckigopagkhaikodedjnmbccfpnmiea [2016-12-14]
2017-01-09 13:52 - 2017-01-09 13:52 - 1979072 _____ (BitTorrent Inc.) C:\Users\vitgr\AppData\Local\Temp\utt15C9.tmp.exe
2017-02-04 08:15 - 2017-02-04 08:15 - 2143936 _____ (BitTorrent Inc.) C:\Users\vitgr\AppData\Local\Temp\utt7B35.tmp.exe
2017-02-08 22:35 - 2017-01-18 20:41 - 4167384 _____ (Mail.Ru) C:\Users\Мария\AppData\Local\Temp\MailRuUpdater.exe
2017-02-05 17:10 - 2017-02-05 17:10 - 2143936 _____ (BitTorrent Inc.) C:\Users\Мария\AppData\Local\Temp\utt3725.tmp.exe
2017-02-05 17:15 - 2017-02-05 17:15 - 2143936 _____ (BitTorrent Inc.) C:\Users\Мария\AppData\Local\Temp\uttC73D.tmp.exe
Task: {0261602D-3EBA-4A04-A441-FB33CAACE19D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {0386D89B-A692-4F97-9D59-4AF67D22C9CD} - \newSI_620 -> No File <==== ATTENTION
Task: {3F09CCBE-E8E7-4A13-A7E0-4D4733AE8ABC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {443D3611-EB62-40E7-83B0-1137A278C1D2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {481300C0-4BE3-42FB-ABAE-504C8C0B6255} - \WPD\SqmUpload_S-1-5-21-2141337335-2679314867-2874535996-1002 -> No File <==== ATTENTION
Task: {4A6885EC-AB92-42D8-99FC-1F00CF16DDEA} - \Microsoft\Windows\Multimedia\ReportSender -> No File <==== ATTENTION
Task: {4D3C37FB-AA00-4C9A-A744-769EF68D4256} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {52D8B795-D57A-4C78-A128-2D52C7E9407F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {73F08402-C891-4274-848A-370258A5FA8B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {A835AD1A-916F-434A-B47F-659F4A742C26} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {B1F9DD60-A39B-4941-9BDF-4E8189FEEBAD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {B214304F-5EC6-4C4B-BC03-7B4FA8944B93} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {DE05F4A6-56A8-491D-8743-1CD11B4847FD} - \newSI_611 -> No File <==== ATTENTION
Task: {EB403C67-E452-421A-A506-FD2BA7F436B2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {F7BCEEF3-D4CE-4E5B-AC82-28A29E4595BB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {FAB4F5F8-6DCD-4F3F-9F5F-1513A28DEE94} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData:iSpring Suite 8 Ru [128]
AlternateDataStreams: C:\Users\All Users:iSpring Suite 8 Ru [128]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Suite 8 Ru [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Suite 8 Ru [128]
AlternateDataStreams: C:\Users\vitgr\Application Data:iSpring Suite 8 Ru [128]
AlternateDataStreams: C:\Users\vitgr\AppData\Roaming:iSpring Suite 8 Ru [128]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:iSpring Suite 8 Ru [128]
AlternateDataStreams: C:\Users\Мария\Application Data:iSpring Suite 8 Ru [128]
AlternateDataStreams: C:\Users\Мария\AppData\Roaming:iSpring Suite 8 Ru [128]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
Мария Мавлюдова

Мария Мавлюдова

Опубликовано
  • Автор
Опубликовано

Обнаруженный объект (память процесса) не обработан c:\users\мария\appdata\local\temp\d4f424f6-3bfe-418a-9d0a-fcd69de3b966.exe Память процесса: c:\users\мария\appdata\local\temp\d4f424f6-3bfe-418a-9d0a-fcd69de3b966.exe Название объекта: UDS:DangerousObject.Multi.Generic Тип объекта: Неизвестный объект

 

Вручную искала, нет такого файла в папке (отображение скрытых файлов включено).


Что это может быть?

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Очистите отчеты антивируса с найденными угрозами, запустите сканирование и сообщите результат после его окончания

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kir_new
      Не удаляются вирусы. UDS:DangerousObject.Multi.Generic и HEUR:Trojan.Win64.Miner.gen.
      Автор Kir_new
      Изначально было, что компьютер всё себя странно, в том плане, что не открывались некоторые программы (например "Ножницы" или "Редактор реестра"). После проверки KVRT было найдено 13 вирусов (сколько-то из них потенциальных). После очистки заработало всё нормально. Но при повторной проверке всё равно находятся UDS:DangerousObject.Multi.Generic и HEUR:Trojan.Win64.Miner.gen. При этом они просто помещаются в каратин. После этого какое-то время после этого антивирус их не находит. Но затем они появляются снова (удаляешь их из карантина или нет).
      Так же иногда находятся Trojan.Win64(32)Autoit.acpju и Trojan.Win64(32)AutoIt.fpl. В скобках написал, потому что точно не помню, так как они даже не добавились в карантин в последний раз.

    • Jonnoton
      MEM:Trojan.Win64.Shellcode.gen помогите с удалением
      Автор Jonnoton
      Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
       
      CollectionLog-2025.07.31-10.14.zip
    • Ekslva
      После удаления трояна не работает центр обновления Windows
      Автор Ekslva
      Добрый день!
      После удаления трояна с помощью Касперского, не работает центр обновлений, там вообще нет никакой информации. Находила также переименованные файлы с bkp.
      CollectionLog-2025.08.18-18.15.zip
    • Вадим_АнтиВирус
      Помощь в удаленнии вируса
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • Xistoner
      Tool.BtcMine.2794. После удаления восстанавливается
      Автор Xistoner
      Проверил систему через dr.web, удалил. После перезапуска системы опять появляется и работает.
      Прикрепил логи AutoLogger
      CollectionLog-2025.06.26-18.43.zip
×
×
  • Создать...