Перейти к содержанию
Правила раздела

не удаляется trojan.multi.genautorantask.b

Рома Сафин

От Рома Сафин
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Рома Сафин Новичок

Рома Сафин

Опубликовано
Опубликовано

Прогонял систему avz и kvrt, все удаляется кроме этого вируса, все делал в безопасном режиме, т.к. в нормальном при открытии папки с антивирусом сразу приостанавливается проводник, а ссылки на антивирусные сайты в опере приводит к ее закрытию. В общем нужна помощь, логи ниже.

CollectionLog-2019.01.25-15.27.zip

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\uchih\AppData\Local\Temp\7zSDF95.tmp\N2080_FW_Upgrade_Tool_V003\GPCIDrv64.sys','');
 QuarantineFile('C:\Program Files (x86)\Common Files\YYkH.exe','');
 DeleteFile('C:\Program Files (x86)\Common Files\YYkH.exe','64');
 DeleteFile('C:\Users\uchih\AppData\Local\Temp\7zSDF95.tmp\N2080_FW_Upgrade_Tool_V003\GPCIDrv64.sys','64');
 DeleteSchedulerTask('{01F677F8-40FD-BA9F-B861-B4EE51A86B80}');
 DeleteService('GPCIDrv');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4-32 - HKLM\..\RunOnce: [{9A52CD82-6267-4CF3-AD3C-7714E51825AA}] = C:\WINDOWS\system32\cmd.exe /C start /D "C:\Users\uchih\AppData\Local\Temp" /B {9A52CD82-6267-4CF3-AD3C-7714E51825AA}.cmd
O4-32 - HKLM\..\RunOnce: [{E9718251-E17D-47E5-9BC8-3616140BC4AE}] = C:\Users\uchih\AppData\Local\Temp\{84A82499-42C4-4E6D-8243-49F8EF9C73D9}\{E9718251-E17D-47E5-9BC8-3616140BC4AE}.cmd  (file missing)
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
Рома Сафин Новичок

Рома Сафин

Опубликовано
  • Автор
Опубликовано (изменено)

С касперского ответили что архив запаролен, у себя открываю, никакие пароли не требуются. KLAN-9508532754

Ниже архив после фикса


пробовал перепаковывать архив как просили, все также им не удается его распаковать, просят пароль.

CollectionLog-2019.01.25-16.22.zip

Изменено пользователем Рома Сафин
Ссылка на комментарий
Поделиться на другие сайты
Рома Сафин Новичок

Рома Сафин

Опубликовано
  • Автор
Опубликовано

Честно, не знаю. Вроде как сейчас все процессы не зависают. В безопасном режиме каждый раз касперская утилка находила этот вирус, в нормальном режиме уже ничего не нашла. Единственное у меня по прежнему на всех файлах стоит атрибут только чтение, его убираешь, применяются настройки, тут же заходишь и опять только чтение галка стоит, раньше такого не было. Уже на всякий случай проверил групповую политику, там все норм, мой учетка типа админ.

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

В безопасном режиме каждый раз касперская утилка находила этот вирус

На какой-то конкретный файл?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
S0 58376672; system32\drivers\43509466.sys [X]
Folder: C:\ProgramData\USOShared
Folder: C:\ProgramData\USOPrivate
Folder: C:\Users\Все пользователи\USOShared
Folder: C:\Users\Все пользователи\USOPrivate
HKLM\...\StartupApproved\Run32: => "Bonus.SSR.FR10"
FirewallRules: [{D74B0C81-4C72-41D0-BE58-78C332AE9269}] => (Allow) C:\Users\uchih\AppData\Roaming\uTorrent\uTorrent.exe (BitTorrent Inc.)
FirewallRules: [UDP Query User{253679AD-E89F-4629-B862-C9CD5AE45531}E:\games\crossout\launcher.exe] => (Allow) E:\games\crossout\launcher.exe No File
FirewallRules: [TCP Query User{63004CC0-F1B6-4869-9AC9-D5F59478954A}E:\games\crossout\launcher.exe] => (Allow) E:\games\crossout\launcher.exe No File
FirewallRules: [TCP Query User{BE03B261-8C82-4CAC-A287-1DE7F5803B85}C:\users\uchih\appdata\local\crossout\launcher.exe] => (Allow) C:\users\uchih\appdata\local\crossout\launcher.exe No File
FirewallRules: [UDP Query User{25FDC875-3E6D-4044-9B9C-2B8EBB6EE904}C:\users\uchih\appdata\local\crossout\launcher.exe] => (Allow) C:\users\uchih\appdata\local\crossout\launcher.exe No File
FirewallRules: [{AF7AFBCF-A12F-4F23-936A-8E5ABF0166F9}] => (Allow) Q:\Games\Armored Warfare\bin64\armoredwarfare.exe No File
FirewallRules: [{155105B5-4A18-46D7-851A-9155F56807CE}] => (Allow) Q:\Games\Armored Warfare\bin64\armoredwarfare.exe No File
FirewallRules: [TCP Query User{9ECDD277-7293-4C24-AC42-15E8800C62E2}C:\program files (x86)\amule\amule.exe] => (Allow) C:\program files (x86)\amule\amule.exe No File
FirewallRules: [UDP Query User{E27D76B6-CCBD-4428-B816-C70FAF938D7A}C:\program files (x86)\amule\amule.exe] => (Allow) C:\program files (x86)\amule\amule.exe No File
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Рома Сафин Новичок

Рома Сафин

Опубликовано
  • Автор
Опубликовано

Сделано


Если бы программа ругалась на какой то конкретный файл, я бы давно его руками удалил, вирус находился при проверке системной памяти, именно про поиске в безопасном режиме ОС, в нормально сейчас не находит. Но при включении пк сейчас на секунду появилась командная строка и что то произошло, даже не успел разглядеть и закрылась.


После этого сразу проверил систему еще раз утилитой, ничего не нашла.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Рома Сафин Новичок

Рома Сафин

Опубликовано
  • Автор
Опубликовано

Если бы антивирус ругался на какой то конкретный файл я бы его без всяких антивирусов руками удалил, но он обнаруживался во время проверки системной памяти.

Ссылка на комментарий
Поделиться на другие сайты
Рома Сафин Новичок

Рома Сафин

Опубликовано
  • Автор
Опубликовано

 

он обнаруживался

Больше не обнаруживается?

 

не обнаруживается, но пару дней назад при включении пк на секунду сама открылась командная строчка, что то мелькнуло, и закрылась сама. Ранее такого не было, думаю это не нормально, да и не мог же вирус по итоге стереться сам, тем более из памяти.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

да и не мог же вирус по итоге стереться сам

Что значит "сам"? А все предыдущие шаги по-вашему были просто так? :)

 

на секунду сама открылась командная строчка

Последите. Если повторится, сообщите.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • wwewww
      не удаляется chronium.page.malware.url
      От wwewww
      Доброго времени суток, никак не выходит удалить вирус "CHROMIUM:PAGE.MALWARE.URL". При запуске хрома с включенной синхронизацией, вирус повторно появляется после обезвреживания. Возможно ли избавится от него?

       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • paradise
      Chromium:page.malware.url не удаляется
      От paradise
      В один день решил скачать читы для игры, естественно с левых сайтов, понимая что наверное будут вирусы, перед открытием первого файла установил dr web cureit, тк раньше им пользовался и он помогал. После скачивания и открытия примерно 3 файлов одного приложения с рахзных сайтов (одного приложения, потому что оно не работало после скачивания) решил проверить с помощью drweb cureit. Выдал 4 вируса, в том числе этот неудаляемый, все обезвредил. Перезагружаю ПК, сканирую cureit'ом опять вылазит этот же вирус. Наверное подхватил с этих левых сайтов, может раньше, это знать не могу потому что не проверял комп на вирусы
      CollectionLog-2024.10.17-08.19.zip
       
       
    • Bernardo
      [РЕШЕНО] Heur:Trojan.Multi.GenBadur.genw не удаляется
      От Bernardo
      Друзья привет. 
      Вот несколько дней уже у меня в ноутбуке живет троян, Касперский удаляет его, а позже вирус появляется вновь. Комп стал тормозить(
       
      Логи загрузил. 
      Спасибо
      CollectionLog-2024.10.30-10.31.zip
    • Lagbeast
      [РЕШЕНО] не удаляется MEM:Trojan.Win32.SEPEH.gen
      От Lagbeast
      находится троян, удаляю с перезагрузкой, после перезагрузки опять находится. и так по кругу. Total Security 12.7
      полную проверку системы делал, не помогает. freedrweb проверял, ничего не нашлось.
       
       
       
       
       

      CollectionLog-2024.11.07-09.31.zip
    • KondratSern
      Не удаляется KESL 11.2 через Web Console
      От KondratSern
      Добрый день, возникла проблема с обновление KESL 11.2 до 12.1 через веб-консоль, сделал отдельную задачу на удаление 11.2, задача выполняется успешно но удаляется только gui оболочка. Задача на установку 12.1 завершается с ошибкой т.к. 11.2 не удалена, В ошибке написано "стереть пропущено" но и при создании задачи на установку не нашел пункта чтоб удалить предыдущую версию
       
      Kaspersky Endpoint Security 12.1 для Linux (Русский) (12.1.0.1297): Удаленная установка на устройстве завершена с ошибкой: Не удалось установить приложение INSTALL LOG: /var/log/kaspersky/klnagent/8386f636-7a34-4029-aa11-2c8ae26518d2
      FATAL ERROR: 'apt-get -y install ./kesl-12.1.0-1297.x86_64.rpm' failed! \nDetails:\nошибка: %prein(kesl-12.1.0-1297.x86_64) scriptlet failed, exit status 1
      ошибка: kesl-12.1.0-1297.x86_64: установить failed
      ошибка: kesl-11.2.2-5324.x86_64: стереть пропущено
      E: Произошли ошибки при выполнении транзакции
      [2024/11/14 09:39:10] 'apt-get -y install ./kesl-12.1.0-1297.x86_64.rpm' failed!
×
×
  • Создать...