Перейти к содержанию

не удаляется trojan.multi.genautorantask.b


Рекомендуемые сообщения

Прогонял систему avz и kvrt, все удаляется кроме этого вируса, все делал в безопасном режиме, т.к. в нормальном при открытии папки с антивирусом сразу приостанавливается проводник, а ссылки на антивирусные сайты в опере приводит к ее закрытию. В общем нужна помощь, логи ниже.

CollectionLog-2019.01.25-15.27.zip

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\uchih\AppData\Local\Temp\7zSDF95.tmp\N2080_FW_Upgrade_Tool_V003\GPCIDrv64.sys','');
 QuarantineFile('C:\Program Files (x86)\Common Files\YYkH.exe','');
 DeleteFile('C:\Program Files (x86)\Common Files\YYkH.exe','64');
 DeleteFile('C:\Users\uchih\AppData\Local\Temp\7zSDF95.tmp\N2080_FW_Upgrade_Tool_V003\GPCIDrv64.sys','64');
 DeleteSchedulerTask('{01F677F8-40FD-BA9F-B861-B4EE51A86B80}');
 DeleteService('GPCIDrv');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4-32 - HKLM\..\RunOnce: [{9A52CD82-6267-4CF3-AD3C-7714E51825AA}] = C:\WINDOWS\system32\cmd.exe /C start /D "C:\Users\uchih\AppData\Local\Temp" /B {9A52CD82-6267-4CF3-AD3C-7714E51825AA}.cmd
O4-32 - HKLM\..\RunOnce: [{E9718251-E17D-47E5-9BC8-3616140BC4AE}] = C:\Users\uchih\AppData\Local\Temp\{84A82499-42C4-4E6D-8243-49F8EF9C73D9}\{E9718251-E17D-47E5-9BC8-3616140BC4AE}.cmd  (file missing)
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

С касперского ответили что архив запаролен, у себя открываю, никакие пароли не требуются. KLAN-9508532754

Ниже архив после фикса


пробовал перепаковывать архив как просили, все также им не удается его распаковать, просят пароль.

CollectionLog-2019.01.25-16.22.zip

Изменено пользователем Рома Сафин
Ссылка на сообщение
Поделиться на другие сайты

Честно, не знаю. Вроде как сейчас все процессы не зависают. В безопасном режиме каждый раз касперская утилка находила этот вирус, в нормальном режиме уже ничего не нашла. Единственное у меня по прежнему на всех файлах стоит атрибут только чтение, его убираешь, применяются настройки, тут же заходишь и опять только чтение галка стоит, раньше такого не было. Уже на всякий случай проверил групповую политику, там все норм, мой учетка типа админ.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

В безопасном режиме каждый раз касперская утилка находила этот вирус

На какой-то конкретный файл?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    S0 58376672; system32\drivers\43509466.sys [X]
    Folder: C:\ProgramData\USOShared
    Folder: C:\ProgramData\USOPrivate
    Folder: C:\Users\Все пользователи\USOShared
    Folder: C:\Users\Все пользователи\USOPrivate
    HKLM\...\StartupApproved\Run32: => "Bonus.SSR.FR10"
    FirewallRules: [{D74B0C81-4C72-41D0-BE58-78C332AE9269}] => (Allow) C:\Users\uchih\AppData\Roaming\uTorrent\uTorrent.exe (BitTorrent Inc.)
    FirewallRules: [UDP Query User{253679AD-E89F-4629-B862-C9CD5AE45531}E:\games\crossout\launcher.exe] => (Allow) E:\games\crossout\launcher.exe No File
    FirewallRules: [TCP Query User{63004CC0-F1B6-4869-9AC9-D5F59478954A}E:\games\crossout\launcher.exe] => (Allow) E:\games\crossout\launcher.exe No File
    FirewallRules: [TCP Query User{BE03B261-8C82-4CAC-A287-1DE7F5803B85}C:\users\uchih\appdata\local\crossout\launcher.exe] => (Allow) C:\users\uchih\appdata\local\crossout\launcher.exe No File
    FirewallRules: [UDP Query User{25FDC875-3E6D-4044-9B9C-2B8EBB6EE904}C:\users\uchih\appdata\local\crossout\launcher.exe] => (Allow) C:\users\uchih\appdata\local\crossout\launcher.exe No File
    FirewallRules: [{AF7AFBCF-A12F-4F23-936A-8E5ABF0166F9}] => (Allow) Q:\Games\Armored Warfare\bin64\armoredwarfare.exe No File
    FirewallRules: [{155105B5-4A18-46D7-851A-9155F56807CE}] => (Allow) Q:\Games\Armored Warfare\bin64\armoredwarfare.exe No File
    FirewallRules: [TCP Query User{9ECDD277-7293-4C24-AC42-15E8800C62E2}C:\program files (x86)\amule\amule.exe] => (Allow) C:\program files (x86)\amule\amule.exe No File
    FirewallRules: [UDP Query User{E27D76B6-CCBD-4428-B816-C70FAF938D7A}C:\program files (x86)\amule\amule.exe] => (Allow) C:\program files (x86)\amule\amule.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Сделано


Если бы программа ругалась на какой то конкретный файл, я бы давно его руками удалил, вирус находился при проверке системной памяти, именно про поиске в безопасном режиме ОС, в нормально сейчас не находит. Но при включении пк сейчас на секунду появилась командная строка и что то произошло, даже не успел разглядеть и закрылась.


После этого сразу проверил систему еще раз утилитой, ничего не нашла.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Если бы антивирус ругался на какой то конкретный файл я бы его без всяких антивирусов руками удалил, но он обнаруживался во время проверки системной памяти.

Ссылка на сообщение
Поделиться на другие сайты

 

он обнаруживался

Больше не обнаруживается?

 

не обнаруживается, но пару дней назад при включении пк на секунду сама открылась командная строчка, что то мелькнуло, и закрылась сама. Ранее такого не было, думаю это не нормально, да и не мог же вирус по итоге стереться сам, тем более из памяти.

Ссылка на сообщение
Поделиться на другие сайты

да и не мог же вирус по итоге стереться сам

Что значит "сам"? А все предыдущие шаги по-вашему были просто так? :)

 

на секунду сама открылась командная строчка

Последите. Если повторится, сообщите.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...