Перейти к содержанию
Правила раздела

Обнаружено: Trojan.Multi.GenAutorunTask.b Kaspersky CRYSTAL3.0 неможет вылечить

Virus2000

От Virus2000
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Virus2000 Новичок

Virus2000

Опубликовано
Опубликовано

System Memory    Обнаружено: Trojan.Multi.GenAutorunTask.b        12.06.2017 1:00:21    обнаруживает при проверке важных областей ... лечение с перезагрузкой не даёт результатов ... возможно занесено в систему при скачивании и установке игры
 

CollectionLog-2017.06.12-00.50.zip

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 33
  • Created
  • Последний ответ

Top Posters In This Topic

  • Virus2000

    17

  • regist

    13

  • Sandor

    4

Popular Days

Top Posters In This Topic

Popular Days

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

+ 1) в Hosts сами добавляли?

91.210.165.150 google-analytics.com www.google-analytics.com mc.yandex.ru pagead2.googlesyndication.com top-fwz1.mail.ru googletagmanager.com www.googletagmanager.com b.scorecardresearch.com

2) Диск Z:\ это у вас что?

 

3) "Пофиксите" в HijackThis:

O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\Logon-5d - C:\Windows\system32\GWX\GWX.exe /event:7 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d - C:\Windows\system32\GWX\GWX.exe /event:8 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d - C:\Windows\system32\GWX\GWX.exe /event:6 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d - C:\Windows\system32\GWX\GWX.exe /event:9 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd - C:\Windows\system32\GWX\GWX.exe /event:11 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\Time-5d - C:\Windows\system32\GWX\GWX.exe /event:10 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B - C:\Windows\system32\GWX\GWXDetector.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\launchtrayprocess - C:\Windows\system32\GWX\GWX.exe /tasklaunch (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\refreshgwxconfig - C:\Windows\system32\GWX\GWXDetector.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent - C:\Windows\system32\GWX\GWXDetector.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\refreshgwxcontent - C:\Windows\system32\GWX\GWXConfigManager.exe /RefreshContent (file missing)
Ссылка на комментарий
Поделиться на другие сайты
Virus2000 Новичок

Virus2000

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

добрый день

вот отчёт

 

+ 1) в Hosts сами добавляли?

91.210.165.150 google-analytics.com www.google-analytics.com mc.yandex.ru pagead2.googlesyndication.com top-fwz1.mail.ru googletagmanager.com www.googletagmanager.com b.scorecardresearch.com

2) Диск Z:\ это у вас что?

1)в ручную файл не редактировал ... если скажите что в этом файле подменяется то смогу сказать менял ли используя доп. ресурсы...

2)Z это раздел второго жёсткого диска... использую для хранения большей части информации

3) "Пофиксите" в HijackThis:

O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\Logon-5d - C:\Windows\system32\GWX\GWX.exe /event:7 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d - C:\Windows\system32\GWX\GWX.exe /event:8 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d - C:\Windows\system32\GWX\GWX.exe /event:6 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d - C:\Windows\system32\GWX\GWX.exe /event:9 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd - C:\Windows\system32\GWX\GWX.exe /event:11 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\Time-5d - C:\Windows\system32\GWX\GWX.exe /event:10 (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B - C:\Windows\system32\GWX\GWXDetector.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\launchtrayprocess - C:\Windows\system32\GWX\GWX.exe /tasklaunch (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\refreshgwxconfig - C:\Windows\system32\GWX\GWXDetector.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent - C:\Windows\system32\GWX\GWXDetector.exe (file missing)
O22 - Task (Ready): \Microsoft\Windows\Setup\gwx\refreshgwxcontent - C:\Windows\system32\GWX\GWXConfigManager.exe /RefreshContent (file missing)

cwx случайно не модуль обновления виндовс? просто что то знакомое я уже убирал из системы

если всё же модуль обновления виндовс нельзя ли просто его удалить без фикса?

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


в ручную файл не редактировал ... если скажите что в этом файле подменяется то смогу сказать менял ли используя доп. ресурсы...
Если бы вы это сделали, то скорее всего вручную. В этот файл добавлена указанная мной строчка.

Её смысл, что при попытке обратиться к указанным там сайтам их будет перенаправлять на IP 91.210.165.150.

 

 


Z это раздел второго жёсткого диска.

То есть это постоянно подключённый раздел? Странно просто, что у него такая буква. Обычная такие буквы у съёмных дисков.

 

 


cwx случайно не модуль обновления виндовс? просто что то знакомое я уже убирал из системы
Да это модуль обновления до виндовс 10. Точней хвосты от него, сами файлы как вы заметили уже удалили, а вот задачи которые их должны были запускать остались.

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
    • Очистить Hosts файл

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Ссылка на комментарий
Поделиться на другие сайты
Virus2000 Новичок

Virus2000

Опубликовано
  • Автор
Опубликовано

да это постоянно подключенный раздел. ну в принципе буквы дисков можно на своё усмотрение выбирать=)

отчёт прикрепляю

проблема осталась


 

 

 

 

 

AdwCleanerC0.txt

Ссылка на комментарий
Поделиться на другие сайты
Virus2000 Новичок

Virus2000

Опубликовано
  • Автор
Опубликовано

1) В AdwCleaner ещё раз очистку сделайте.

 

2) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

 

1) очистку сделал

2) образ автозапуска прилагаю

VIRUS2000_2017-06-12_15-20-30.7z

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Выполните скрипт в uVS

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
BREG
;---------command-block---------
delref %SystemDrive%\USERS\VIRUS\APPDATA\LOCAL\TEMP\CHROME_BITS_2860_5795\408_ALL_STHSET.CRX2
delref J:\SETUP.EXE
delref H:\SETUP.EXE
delref I:\SETUP.EXE
delref %Sys32%\GWX\GWX.EXE
delref %Sys32%\GWX\GWXUI.DLL
delref %Sys32%\GWX\GWXUX.EXE
delref WMI_NTEVENTLOGEVENTCONSUMER\SCM EVENT LOG CONSUMER.[SCM EVENT LOG FILTER]
delref J:\AUTORUN.EXE
delref L:\AUTORUN.EXE
delref I:\AUTORUN.EXE
delref G:\AUTORUN.EXE
delref H:\AUTORUN.EXE
delref K:\AUTORUN.EXE
apply

restart

проверьте проблему.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Virus2000 Новичок

Virus2000

Опубликовано
  • Автор
Опубликовано

Скачайте Malwarebytes' Anti-Malware. Установите.

На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

 

готово

танцы с бубном.txt

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Эта папка вам знакома?

C:\PROGRAMDATA\FILES MANAGER

Если да, то удалите всё кроме ней. Если нет, то удаляйте всё.

 

И ещё раз провертие проблему.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Depos1t
      [РЕШЕНО] Kaspersky обнаружил MEM:Trojan.Win32.SEPEH.gen
      От Depos1t
      Добрый день, пользователи сайта и простые обыватели сети интернет. Хотел решить проблему с подключением Discord и друг скинул прогу которая должна была решить вопрос, но при ее запуске на компе появился троян. Сам Касперский не справляется с его удалением, каждый раз предлагает лечить но при новом запуске опять та же проблема. Прошу, помогите доверчивому пользователю сети интернет избавиться от этой "бяки" без потери файлов и переустановки ОС, заранее благодарен за помощь. Ниже прикрепил скрин того, что касперский обнаружил вирус

    • sergoborin
      [РЕШЕНО] Полностью вылечить систему после HEUR:Trojan.Multi.GenBadur.genw
      От sergoborin
      Добрый день!
       
      Не получалось вылечить HEUR:Trojan.Multi.GenBadur.genw, после перезагрузки он снова появлялся
      Удалил вручную, прошу проверить, не осталось ли ничего ещё каких-либо подозрительных файлов
      CollectionLog-2025.01.06-00.30.zip
    • Zero56621
      Не могу вылечить вирус в системной памяти.
      От Zero56621
      Меня уже долгое время мучает троян в системной памяти с названием MEM:Trojan.Win32.SEPEH.gen. Я уже попробовал много различных программ и от зависаний на короткое время мне помогла только программа Emsisoft Emerengecy Soft. При попытке вылечить данный троян, у меня просто появлялся черный экран, где я даже мышкой не мог двигать (это при попытке вылечить с помощью KVRT). Я не знаю где сохраняются отчеты, так что я решил сделать скрин. Так же прикрепил файл с программы EES.

      scan_250111-162811.txt
    • Fara
      [РЕШЕНО] Обнаружил пользователя john
      От Fara
      Стал постоянно перезагружаться компьютер, последние два дня. При самостоятельном разборе причины, обнаружен пользователь john. Изначально думал что дело в маломощном блоке питания, потом то что драйвер видеокарта  не корректно обновился. Если на компьютере захожу на сайт Касперского или этот форум, сразу перегрузка. Удалял драйвер видеокарты компьютер перезагрузился и восстановил все назад.
    • ARKHIPOV
      [РЕШЕНО] На компьютере обнаружил вирус майнера, не удаляется Касперским
      От ARKHIPOV
      Добрый день! Пару дней назад компьютер после стандартного запуска вывел синий экран (BSOD). При отключении интернет соединения данная проблема исчезла. Это побудило меня приобрести ключ к Касперскому (до этого пользовался Malware, пробником, который истек и защиту в реальном времени уже не оказывал). Проверив ПК на вирусы, обнаружились Трояны (к сожалению логов и скринов не сохранил, причина дальше). Вирус сидел в exeшнике GoogleUpdate. Отключил службы, связанные с апдейтом гугла, удалил файлы связанные с ним, после полной проверки перезагрузил ПК и обнаружил надпись в Касперском: "Некоторые компоненты защиты повреждены", переустановил К (сообщение пропало и логи про удаленный вирус тоже), снова проверил на вирусы, снова перезагрузил, получил тот же результат. У меня подозрение на наличие майнера, который не удаляется стандартным путем и сидит где-то в системных файлах и службах. Прошу помочь восстановить работу служб и системы. Без интернет соединения ПК летает хорошо, при подключении работает медленней.
      CollectionLog-2025.02.18-11.00.zip
×
×
  • Создать...