Trojan.Multi.GenAutorunProc.a

[Александр Быков]

 

Kaspersky Internet Security обнаружил Trojan.Multi.GenAutorunProc.a расположение system memory, лечение с перезагрузкой не помогает, после перезагрузки опять появляется данное сообщение

 

[regist]

Порядок оформления запроса о помощи
 

[Александр Быков]

Порядок оформления запроса о помощи

 

Порядок оформления запроса о помощи

Проверку пк провел

• Kaspersky Virus Removal Tool 2015;
• Dr.Web CureIt!

Никаких угроз не обнаружено.

 

Прикладываю файл логов

 

[thyrex]

Прикреплять файл логов нужно с помощью кнопки Расширенный режим - Загрузить

[Александр Быков]

Прикреплять файл логов нужно с помощью кнопки Расширенный режим - Загрузить

CollectionLog-2018.06.28-10.12.zip

[akoK]

c:\users\a95b~1\appdata\local\temp\teamviewer\version7\teamviewer_desktop.exe - ваше? Если да, то ничего не выполняйте, отпишитесь в теме я переделаю скрипт

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Checkcfg.exe','');
 QuarantineFile('C:\Program Files\Wise\Wise Reminder\WiseReminder.exe','');
 QuarantineFile('C:\Windows\gdrv.sys','');
 QuarantineFile('c:\users\a95b~1\appdata\local\temp\teamviewer\version7\teamviewer_desktop.exe','');
 QuarantineFile('c:\users\a95b~1\appdata\local\temp\teamviewer\version7\teamviewer.exe','');
 DeleteFile('c:\users\a95b~1\appdata\local\temp\teamviewer\version7\teamviewer.exe','32');
 DeleteFile('c:\users\a95b~1\appdata\local\temp\teamviewer\version7\teamviewer_desktop.exe','32');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

 

Компьютер перезагрузится. 

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2 - HKLM\..\BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.