UDS:DangerousObject.Multi.Generic

[Alan_G]

День добрый! 

Касперский выдает угрозу под названием UDS:DangerousObject.Multi.Generic, предлагает лечит, однако после окончания процедуры лечения (перезагрузки ПК) снова выдает предупреждение об этом же вирусе и предлагает лечение еще раз.

Сам же вирус активности никакой не проявляет. Опасен ли он вообще? Если да, то как можно окончательно от него избавиться?

 

P.S. После лечения в карантине часто был замечен какой-то файл samp.dat, который появлялся даже после удаления. Может, это тоже важно.

P.P.S. На данный момент (спустя ~10 минут) после очередной перезагрузки антивирус ничего плохого не выдает. Но тем не менее до этого приходилось перезагружать компьютер примерно 3 раза подряд, поэтому мало ли...

CollectionLog-2017.05.08-19.42.zip

Изменено 8 мая, 2017 пользователем Alan_G

[regist]

Здравствуйте!

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\winstart.bat', '');
 DeleteFile('C:\WINDOWS\winstart.bat', '32');
 DeleteFile('C:\WINDOWS\Tasks\Uninstaller_SkipUac_FaKe.job', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_FaKe" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

[Alan_G]

"Отчет по Вашему карантину еще не сформирован. Обычно анализ занимает 20 минут" - выдает Virus Detector.

Все остальное выполню после того, как отчет будет доступен.

 

Кстати говоря, тут вот какая интересная вещь вылезла - антивирус начинает выдавать предупреждение о вирусе после входа в онлайн-игру. При сканировании AVZ я ее запустил по совету, описанному на сайте ("Также мы рекомендуем запустить другие программы, работа которых вызывает подозрения").

Путь к зараженному файлу: C:\Users\"имя пользователя"\Local\Temp\samp.dat

[regist]

 

 

C:\Users\"имя пользователя"\Local\Temp\samp.dat

Пожалуйста, проверьте его на virustotal

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

[Alan_G]

Прикрепляю все, что Вы запрашивали выше:

1) Ссылка на результаты анализа:https://virusinfo.info/virusdetector/report.php?md5=4CBF438262EEB1BF19CEF22DEFC5C895

Тема для обсуждения результатов анализа: https://virusinfo.info/showthread.php?t=211814

2) ClearLNK отчет - прикрепил

3) [KLAN-6210681330]

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
winstart.bat

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

 

4)Логи прикрепляю

 

5)Не могу провести проверку на virustotal:

"samp.dat

Этот файл сейчас используется.

Укажите другое имя файла или закройте файл в другом приложении."

Что теперь делать? Касперский может удалить этот файл, но, после удаления, он вновь восстанавливается, как и раньше. 

После перезагрузки ПК, файл пропадает, но стоит хоть раз запустить игру, и он тут же появляется, и антивирус начинает "ругаться".

ClearLNK-08.05.2017_21-20.log

CollectionLog-2017.05.08-21.31.zip

Изменено 8 мая, 2017 пользователем Alan_G

[regist]

Файл тут создаётся?

C:\Users\FaKeLocal\Temp\samp.dat

Закройте все программы

1) Отключите

- ПК от интернета/локалки.
- Временно отключите файловый антивирус

 

2) Запустите игру.

3) Выполните скрипт в АВЗ[
 

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\ион\AppData\Local\Temp\samp.dat', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

4) - Файл quarantine.zip из папки AVZ пришлите на почту , укажите  в письме ссылку на тему, в которой просили прислать файлы.

Изменено 8 мая, 2017 пользователем regist

[Alan_G]

 укажите  в письме ссылку на тему, в которой просили прислать файлы.

В каком смысле? Какую тему?

 

Файл создается в C:\Users\ион\AppData\Local\Temp\samp.dat

Изменено 8 мая, 2017 пользователем Alan_G

[regist]

 

 

В каком смысле? Какую тему?

В поле тема письма впишите ссылку на эту тему (чтобы я знал, что это ваш карантин).

 

 

Файл создается в C:\Users\ион\AppData\Local\Temp\samp.dat

Заменил в скрипте.

[Alan_G]

Письмо отправил. 

 

Кстати, после скрипта, ПК на перезагрузку не ушел, это нормально?

[regist]

 

 

Кстати, после скрипта, ПК на перезагрузку не ушел, это нормально?

Да.

 

 

Письмо отправил.

беглым взглядом это не фолс, а воровалка паролей. Что за игра его создаёт?

[Alan_G]

Его, вроде как, создает игра Grand Theft Auto: San Andreas, а точнее приложение для игры по сети (San Andreas Multiplayer 0.3.7). Поэтому файл и называется samp (сокр. от San Andreas MultiPlayer).

 

 

Может, стоит просто переустановить игру?

Изменено 8 мая, 2017 пользователем Alan_G

[regist]

 

 

а точнее приложение для игры по сети (San Andreas Multiplayer 0.3.7)

Откуда скачана это приложение? В смысле это официальное или откуда-то с файлопомойки неизвестно кем собрано?

[Alan_G]

Приложение для игры по сети - да, официальное, сама игра - нет, скачана с торрента, причем скачана уже давно и используется уже на протяжении нескольких лет, и только сейчас такое вот "счастье" появилось.

Изменено 8 мая, 2017 пользователем Alan_G

[regist]

Это всё-таки фолс. Подождите пару дней, а потом ещё раз перепроверьте проблему. А пока ещё

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

 

 

а потом ещё раз перепроверьте проблему.

Уже сейчас можете проверять, больше срабатываний на него быть не должно.

[Alan_G]

1) Отчет прикрепил

2) Сегодня утром решил еще раз проверить: запустил игру - файл по-прежнему создается, но антивирус уже не "кричит".

scan.txt

Изменено 9 мая, 2017 пользователем Alan_G