Перейти к содержанию
Правила раздела

Не удаляется Троянская программа MEM:Trojan.Win32.Adject.gen

Valor

Автор Valor
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
zip:C:\Windows\System32\Drivers\vcdrom.sys;C:\Windows\system32\drivers\UefGdstor.sys
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. На Рабочем столе будет создан файл вида Дата_Время.zip. Пожалуйста, выложите его на https://sendspace.com и пришлите ссылку мне в личные сообщения.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
  • Ответов 33
  • Создана
  • Последний ответ

Топ авторов темы

  • Valor

    17

  • thyrex

    14

  • regist

    3

Топ авторов темы

Изображения в теме

thyrex

thyrex

Опубликовано
Опубликовано

vcdrom.sys_ - Trojan.Win64.Agent.kxf

UefGdstor.sys_ - Trojan.Win64.Winsecsrv.d

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
R2 UefGdstor; C:\Windows\system32\drivers\UefGdstor.sys [182120 2010-11-21] () [File not signed] <==== ATTENTION
C:\Windows\system32\drivers\UefGdstor.sys
R1 WiserIso; C:\Windows\System32\Drivers\vcdrom.sys [25432 2016-12-27] () <==== ATTENTION
C:\Windows\System32\Drivers\vcdrom.sys
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Valor

Valor

Опубликовано
  • Автор
Опубликовано

К моему огромному сожалению KIS все равно видит троян и пытается его убить с перезагрузкой, но результат пока нулевой.

thyrex

thyrex

Опубликовано
Опубликовано

После очистки отчетов антивируса и повторной проверки ситуация не меняется?

Срабатывание идет даже если браузер не запущен?

regist

regist

Опубликовано
Опубликовано

@Valor, Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



 

Valor

Valor

Опубликовано
  • Автор
Опубликовано

Компьютер недоступен по вечера субботы. Как только получу доступ- отпишу результат.

Valor

Valor

Опубликовано
  • Автор
Опубликовано (изменено)

Так последовательность действий: 

1) Включаем компьютер ( шнур сети вытащен) . KIS видит троян, нажимает лечить - лечит. При повторной проверке не видит.

2) Перезагружаем пк, повторно делаем проверку - ничего не видим. Вставляем шнур сети, через 2 минуты делаем проверку и тут же KIS вновь видит троян. Предлагает лечить с перезагрузкой, после перезагрузки повторяем по кругу.

3) Скачали последний на 30.04 Cure it, AVZ, KVRT.

4) Отключили шнур сети. KIS лечит троян без попытки перезагрузки. повторно поиск ничего не находит. Cure it ничего не находит. Malwarebytes Ничего не находит. KVRT ничего не находит. AVZс тоже самое.

5) Перезагружаем пк. Вновь проверка KIS - Ничего.  вставляем шнур сети. Сразу включаем проверку KIS - вновь троян тут как тут. При этом не браузер , ничего не включаем.

 

 

Проверил все AutorunsVTchecker - ничего. Приложил образ что выдал  Universal Virus Sniffer (uVS)

Все программы запущены от админа.

COMPUTER2_2018-04-30_14-29-03.7z

Изменено пользователем Valor
regist

regist

Опубликовано
Опубликовано

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
zoo %SystemDrive%\PROGRAM FILES (X86)\AMLYRCNLUIE\DBMQYHEMEW.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\AMLYRCNLUIE\DBMQYHEMEW.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\AMLYRCNLUIE
delref F:\SDI_AUTO.BAT
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YIX1Z5BA.DEFAULT\EXTENSIONS\{A38384B3-2D1D-4F36-BC22-0F7AE402BCD7}
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YIX1Z5BA.DEFAULT\EXTENSIONS\SOVETNIK@METABAR.RU.XPI
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YIX1Z5BA.DEFAULT\EXTENSIONS\HOMEPAGE@MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YIX1Z5BA.DEFAULT\EXTENSIONS\SEARCH@MAIL.RU
delref HTTPS://MAIL.RU/CNT/11956636?FR=FFHP1.0.3&GP=811021
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
delref E:\DISKMENU.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\HELPER@SAVEFROM.NET.CRX
delref {7558B7E5-7B26-4201-BEDB-00D5FF534523}\[CLSID]
delref JSZIP SHELL EXTENSION\[CLSID]
delref {9A0700D2-920A-4E52-8697-9B5230C92612}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {5C551008-A347-4DB3-AF48-014076FD2B46}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {C83C8499-99FF-4276-8CFD-6467362F6A1E}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %Sys32%\DRIVERS\VDIYNJA3.SYS
apply

czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

 


повторно делаем проверку - ничего не видим. Вставляем шнур сети, через 2 минуты делаем проверку и тут же KIS вновь видит троян. Предлагает лечить с перезагрузкой, после перезагрузки повторяем по кругу.
браузеры или какие-то другие программы при этом вы не открываете?
Valor

Valor

Опубликовано
  • Автор
Опубликовано

Всё сделал. Архив отправил в письме на указанный адрес с темой - линком на эту тему.

 

Нет, браузеры или какие-то другие программы при этом не открываются.

 

Примечательно : Полная проверка KIS начала видеть в  recycle диск с

vcdrom.sys_ - Trojan.Win64.Agent.kxf

UefGdstor.sys_ - Trojan.Win64.Winsecsrv.d

thyrex

thyrex

Опубликовано
Опубликовано

Что в этих папках

C:\Users\User\AppData\Local\IntInfApp
C:\Users\User\AppData\Local\instbr
C:\Users\User\AppData\Local\InternetInformationService

 

?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • shougo04
      Client Helper вирус, помогите
      Автор shougo04
      Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. 
       
      Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы.  В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините.
      Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner.
       
      На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 
      2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались, так что хз.
       
       
      Скрин подозрительной активности в Планировщике.
       
       
      MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log
    • Кустас
      Подозрение на вирус
      Автор Кустас
      Компьютер начал ОЧЕНЬ сильно тупить, даже проводник пр и входе в папку открывает её секунд 10.
      CollectionLog-2025.12.13-21.05.zip
    • 420427
      какой-то вирус залез Trojan.Win32.Agentb.adkr
      Автор 420427
      Здравствуйте, какой-то вирус залез в комп, помогите, пожалуйста, избавиться.
      CollectionLog-2025.12.12-15.19.zip
    • NoEndOutcry
      Тормозит компьютер, регулярные синие экраны и перезагрузка
      Автор NoEndOutcry
      Добрый день, у меня проблема с тормозами и постоянными перезагрузками на компьютере с виндовс 10, своими силами решить не удалось, автозапуск чистил, антивирусом проверял, посторонних процессов не вижу. 
       

      Процессор    AMD Ryzen 9 5900X 12-Core Processor               3.70 GHz
      Оперативная память    128 ГБ
       
      Проблема проявляется иногда раз в неделю в виде синего экрана, иногда 10 раз за день, как сегодня. Комп повисает и просто перестает на что-то реагировать. Регулярно начинают выть вентиляторы, хотя нагрузки никакой нет, а железо достаточно мощное что бы мелкие фоновые задачи решать не греясь. Подозреваю что закрался майнер или какой-то вирус. Установлен касперский премиум, но он проблем не видит. 
      В диспетчере задач тоже не вижу ничего подозрительного. Прогнал сканирование и логгер, результаты прикладываю. 
      Буду признателен совету как поступить для дальнейшей диагностики и по решению проблемы. 
       

      CollectionLog-2025.12.10-14.30.zip
    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
×
×
  • Создать...