Перейти к содержанию

вирус Trojan.Multi.GenAutorunBITS.a


Anton123456

Рекомендуемые сообщения

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

Ссылка на комментарий
Поделиться на другие сайты

@Anton123456, похоже выше в посте не ту ссылку из буфера вставил. Надо было это:

 

Порядок оформления запроса о помощи
 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Java 8 Update 73 (64-bit) [20160222]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86418073F0}
Java 8 Update 73 [20160222]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83218073F0}
McAfee Security Scan Plus [2017/10/02 22:03:12]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
YoutubeAdBlock [2017/12/15 14:48:57]-->"C:\Program Files (x86)\FpGcSjfNZDUn\sPFDMxYGMu.exe" /raun
Кнопка "Яндекс" на панели задач [2017/02/14 14:56:54]-->C:\Users\Антон Андреевич\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned
Менеджер браузеров [2017/03/21 22:17:53]-->"C:\Users\Антон Андреевич\AppData\Local\Package Cache\{4b6fbff5-aa70-4bcf-b10d-6065946cafa5}\BrowserManagerInstaller.exe"  /uninstall
Менеджер браузеров [20170321]-->MsiExec.exe /X{36E317A1-1384-4FC5-92CD-D4731B651859}

Деинсталируйте. Java если нужна, то потом скачайте и установите актуальную версию.

Чистилка [20170605]-->C:\ProgramData\Чистилка\Чистилка.exe /uninstall

тоже советую деинсталировать.
 

C:\Users\Антон Андреевич\AppData\Local\Optimizer\Optimizer.exe

Эта программа знакома?
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\OGqwJxyzdjgEZIvrFER\efGUhgw.dll', '');
 QuarantineFile('C:\Users\Антон Андреевич\AppData\Local\Hostinstaller\473903958_installcube.exe', '');
 QuarantineFile('C:\Users\Антон Андреевич\AppData\Local\Optimizer\Optimizer.exe', '');
 QuarantineFile('C:\Users\Антон Андреевич\AppData\Roaming\threatdatabase\tdget.exe', '');
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFileF('C:\Program Files (x86)\ExRIRmygU', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\OGqwJxyzdjgEZIvrFER\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\антон андреевич\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\Антон Андреевич\AppData\Local\Optimizer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Антон Андреевич\AppData\Roaming\threatdatabase\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files (x86)\OGqwJxyzdjgEZIvrFER\efGUhgw.dll');
 DeleteFile('C:\Users\Антон Андреевич\AppData\Local\Hostinstaller\473903958_installcube.exe', '32');
 DeleteFile('C:\Users\Антон Андреевич\AppData\Local\Optimizer\Optimizer.exe');
 DeleteFile('c:\windows\debug\item.dat');
 DeleteFile('C:\Windows\Tasks\boQbXxbEJPaDgWztw.job', '32');
 DeleteFile('C:\Windows\Tasks\jVVcebPoCjhHKmi.job', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "boQbXxbEJPaDgWztw" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "boQbXxbEJPaDgWztw2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "space(title, t_delayed)" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "space(title, t_monitor)" /F', 0, 15000, true);
 DeleteFileMask('C:\Program Files (x86)\ExRIRmygU', '*', true);
 DeleteFileMask('C:\Program Files (x86)\OGqwJxyzdjgEZIvrFER\', '*', true);
 DeleteFileMask('c:\users\антон андреевич\appdata\local\hostinstaller', '*', true);
 DeleteFileMask('C:\Users\Антон Андреевич\AppData\Local\Optimizer\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\ExRIRmygU');
 DeleteDirectory('C:\Program Files (x86)\OGqwJxyzdjgEZIvrFER\');
 DeleteDirectory('c:\users\антон андреевич\appdata\local\hostinstaller');
 DeleteDirectory('C:\Users\Антон Андреевич\AppData\Local\Optimizer\');
 ClearHostsFile;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • farguskz
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • Ferri
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
×
×
  • Создать...