LegionCommander 0 Опубликовано 9 сентября, 2018 Share Опубликовано 9 сентября, 2018 (изменено) Здравствуйте! Встретился со следующей проблемой: Kaspersky Internet Security 2017 не может удалить trojan.multi.gen.autorunproc.a, он стабильно возвращается в системную память, в которой его Касперский и обнаруживает. Также периодически всплывает среди угроз некий inu.exe, его Касперский пытался удалить уже 2 раза - не вышло, видимо.Их действие на систему мне не совсем понятно, они пытаются запустить какое-то приложение, которое останавливает сам Windows, говоря, что оно не подходит под систему. Также постоянно пытается открыться какая-то ссылка, которую блокирует Касперский. CollectionLog-2018.09.09-16.04.zip Изменено 9 сентября, 2018 пользователем LegionCommander Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 9 сентября, 2018 Share Опубликовано 9 сентября, 2018 Здравствуйте,- Подготовьте лог AdwCleaner и приложите его в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
LegionCommander 0 Опубликовано 9 сентября, 2018 Автор Share Опубликовано 9 сентября, 2018 (изменено) Пишет, что ничего не нашёл. AdwCleanerS00.txt Изменено 9 сентября, 2018 пользователем LegionCommander Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 9 сентября, 2018 Share Опубликовано 9 сентября, 2018 Заархивируйте в zip пожалуйста следующие папки с паролем infected (важно не удаляйте пожалуйста эти папки до результатов анализа) C:\ProgramData\Msvisual C:\ProgramData\Ocxtmv этот архив загрузите пожалуйста через данную формуВ имени архива не должно быть символов кириллицы. - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
LegionCommander 0 Опубликовано 9 сентября, 2018 Автор Share Опубликовано 9 сентября, 2018 Архив отправил, необходимые действия с FRST сделал. Вот файлы. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 9 сентября, 2018 Share Опубликовано 9 сентября, 2018 Отправили на анализ указанный вами архив.Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: File: C:\Program Files (x86)\SCM\SCM.exe Folder: C:\Program Files (x86)\SCM File: C:\Windows\SysWOW64\timeout.exe (TeamViewer GmbH) C:\ProgramData\Ocxtmv\fgs.exe HKU\S-1-5-21-1196827045-3143132174-1136586130-1001\...\Run: [McvService] => C:\ProgramData\Msvisual\mcs\mcs.exe [1740766 2018-08-21] () HKU\S-1-5-21-1196827045-3143132174-1136586130-1001\...\Run: [Ocxsvc] => C:\ProgramData\Ocxtmv\ocx.exe [1748142 2018-08-21] () FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [No File] FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1228198.dll [No File] CHR Extension: (Tampermonkey) - C:\Users\VLAD\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2018-08-12] File: C:\Program Files (x86)\Bluetooth Suite\adminservice.exe S2 TermService; C:\WINDOWS\System32\svchost.exe [51288 2018-04-12] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 TermService; C:\WINDOWS\SysWOW64\svchost.exe [44520 2018-04-12] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) 2018-09-09 19:34 - 2018-09-09 19:34 - 007791468 _____ C:\ProgramData\ProgramData.zip File: C:\Users\VLAD\AppData\Roaming\fdf.exe Zip: C:\Users\VLAD\AppData\Roaming\fdf.exe;C:\Users\VLAD\AppData\Local\Temp\BiVr8qk4JYd5.exe;C:\Users\VLAD\AppData\Local\Temp\gLNHU9lV7FQq.exe;C:\Users\VLAD\AppData\Local\Temp\tFhwisgixO70.exe Folder: C:\Users\VLAD\ncftp Folder: C:\Users\VLAD\AppData\LocalLow\HakJak Productions LLC 2018-09-07 16:40 - 2018-09-07 16:40 - 011448502 _____ () C:\Users\VLAD\AppData\Local\Temp\BiVr8qk4JYd5.exe 2018-09-03 16:23 - 2018-09-03 16:23 - 002916996 _____ () C:\Users\VLAD\AppData\Local\Temp\gLNHU9lV7FQq.exe 2018-09-03 20:04 - 2018-09-03 20:04 - 002483897 _____ () C:\Users\VLAD\AppData\Local\Temp\tFhwisgixO70.exe ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => -> No File AlternateDataStreams: C:\Users\Public\DRM:احتضان [48] Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму Цитата Ссылка на сообщение Поделиться на другие сайты
LegionCommander 0 Опубликовано 9 сентября, 2018 Автор Share Опубликовано 9 сентября, 2018 Не могу найти в AdwCleaner что-либо, что он предлагает удалить. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 9 сентября, 2018 Share Опубликовано 9 сентября, 2018 Не могу найти в AdwCleaner что-либо, что он предлагает удалить. Пропустите пожалуйста это, строка ошибочно попала в шаблон ответа. Цитата Ссылка на сообщение Поделиться на другие сайты
LegionCommander 0 Опубликовано 9 сентября, 2018 Автор Share Опубликовано 9 сентября, 2018 (изменено) Карантин загрузил, вот fixlog.Если что, то ещё до проведения последних манипуляций с FRST Касперский снова обнаружил троян в памяти, я его не трогал. После проведения манипуляций в FRST Касперский всё ещё помнил о наличии вируса. Это нормально? Fixlog.txt Изменено 9 сентября, 2018 пользователем LegionCommander Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 9 сентября, 2018 Share Опубликовано 9 сентября, 2018 Где лог fixlog.txt? Цитата Ссылка на сообщение Поделиться на другие сайты
LegionCommander 0 Опубликовано 9 сентября, 2018 Автор Share Опубликовано 9 сентября, 2018 Прошу прощения, забыл нажать на кнопку после прикрепления. Исправил. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 9 сентября, 2018 Share Опубликовано 9 сентября, 2018 Антивирус какую угрозу выявил в памями? Давайте времено уберем подозрительные каталоги в карантин. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: C:\Users\VLAD\AppData\Roaming\fdf.exe C:\ProgramData\Msvisual C:\ProgramData\Ocxtmv Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
LegionCommander 0 Опубликовано 9 сентября, 2018 Автор Share Опубликовано 9 сентября, 2018 Антивирус выявил trojan.multi.genproc.a.Действия с FRST сделал. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 9 сентября, 2018 Share Опубликовано 9 сентября, 2018 Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
LegionCommander 0 Опубликовано 9 сентября, 2018 Автор Share Опубликовано 9 сентября, 2018 Готово! MSI_2018-09-10_00-05-56.7z Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.