[РЕШЕНО] Касперский нашёл троян дважды

[Alexey12]

Здравствуйте, антивирус касперского нашёл вирус в системной памяти. Называется он Trojan.Multi.GenAutorunTask.a. по адресу System32//Tasks//Alex. Антивирус попытался его вылечить, но не смог и удалил. Спустя 20 минут выскакивает сообщение, что найден такой же вирус только в конце названия .b, а потом и .с. Касперский предложил их вылечить с перезагрузкой. Потом он лечил, потом запустилась перезагрузка, и перед ней на фоне синего экрана выскочили какие то пара ошибок которые я не успел прочитать. Перезагрузка произошла, написано, что системная память была вылечена и типо вирусу капут..  Но я сомневаюсь и хочу с вашей помощью узнать так ли это, и проверить ничего ли не осталось после него. Помогите пожалуйста. Лог приложил.

CollectionLog-2019.05.14-20.36.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Alexey12]

Всё сделал. Вот файлы

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"

CreateRestorePoint:

CloseProcesses:

file: C:\Windows\SysWOW64\muachost.exe

virustotal: C:\Program Files (x86)\GPU-Z\GPU-Z.exe

BHO: No Name -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> No File

BHO-x32: No Name -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> No File

folder: C:\Users\Alex\AppData\Local\kaneandlynch

folder: C:\Users\Alex\AppData\Local\119614856402248948

folder: C:\Users\Alex\AppData\Local\119611643766711540

folder: C:\Users\Alex\AppData\Local\119614856402969844

folder: C:\Users\Alex\AppData\Local\119611643767432436

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
  

 

 

[Alexey12]

Вот фикслог. Дата-время.zip создан не был. 

Fixlog.txt

[Alexey12]

Ещё вот что нашла программка Malwarebytes. Внезапно выскочило сообщение о том, что троян попытался совершить входящее подключение. Он никуда не делся! Помогите найти где он сидит, пожалуйста! Отчёт программы прилагаю. Так то походу он в системе сидит и пытается периодически напакостить. Надеюсь, мы сможем его найти. И как то умело он прячется!!

007.txt

Изменено 14 мая, 2019 пользователем Alexey12

[akoK]

Сколько машин в локальной сети?

[Alexey12]

Сколько машин в локальной сети?

имеете ввиду компьютеров? Один. Всего лишь один мой комп и больше к нему никто не подключён по локалке. В принципе, я знаю откуда я мог подцепить трояна. Я опытный пользователь и обычно очень внимателен к программам. Но тут мне надо было скачать Ace Player. Гугл мне сразу выдал ссылку, я оттуда и скачал, причем весьма реалистично было всё. И только я её скачал, понял что это не то. И захотел удалить, но нажав на .exe файл, проводник зависал, а контекстное меню не вызывалось. Пришлось перезагрузить комп и кое как удалил. Но похоже было уже поздно и проявился он через несколько дней. 

 

Но вернусь к сути. Все инструкции и логи сделал и приложил выше. Как вы и сказали. Антивирусы перед моим обращением сюда вроде как этот троян удалили. Но я обратился сюда в поисках истины и его возможных следов на компьютере. 

Уже после того как я прогнал все ваши скрипты и ждал вашего ответа, Malwarebytes вывело сообщение, лог которого я приложил выше, что троян пытается подключиться входящим и сайт заблокирован. Ну, вы сами видели лог. Вот. Ну и повторю ответ на ваш вопрос, к моему компу никто не подключён. Комп домашний. 

Сколько машин в локальной сети?

кстати, потом поздно ночью после всех проверок антивирусами, говорящих, что система чиста, снова Троян пытался подключиться к компу. Та же Malwarebytes сигнализировала. Лог прилагаю. 

008.txt

[mike 1]

MBAM всегда был не равнодушен к сетевой активности. Последние логи у Вас в порядке.   

[Alexey12]

MBAM всегда был не равнодушен к сетевой активности. Последние логи у Вас в порядке.   

Значит, всё в порядке и можно забить на сигналы MBAM? Следов активности и самой активности трояна больше нет, значит? Ещё нужно что то сделать? 

[Alexey12]

MBAM всегда был не равнодушен к сетевой активности. Последние логи у Вас в порядке.   

Просто, играя, например, в онлайне, например, АРМА3, FIFA 18 при поиске соперника, как только я захожу искать сервера для сетевой игры, выскакивает подобное сообщение от MBAM. То якобы троянские программы, то якобы вредоносное ПО. То входящие, то исходящие подключения. Постоянно разные порты и прочее))

Изменено 15 мая, 2019 пользователем Alexey12

[mike 1]

 

MBAM всегда был не равнодушен к сетевой активности. Последние логи у Вас в порядке.   

Значит, всё в порядке и можно забить на сигналы MBAM? Следов активности и самой активности трояна больше нет, значит? Ещё нужно что то сделать? 

 

Да.

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

[Alexey12]

 

 

MBAM всегда был не равнодушен к сетевой активности. Последние логи у Вас в порядке.   

Значит, всё в порядке и можно забить на сигналы MBAM? Следов активности и самой активности трояна больше нет, значит? Ещё нужно что то сделать? 

 

Да.

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

Всё сделано. Отчёт прикреплён

SecurityCheck.txt

[mike 1]

360 Total Security (включен)

Kaspersky Free (выключен и обновлен)

Оставьте что одно, остальное деинсталлируйте. Два антивируса использовать плохо.

 

Обновите:

 

7-Zip 18.06 (x64) v.18.06 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления

Google Chrome v.74.0.3729.131 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

Opera Stable 58.0.3135.132 v.58.0.3135.132 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

 

На этом все.

 

Мы были рады Вам помочь!

Надеемся, что Вы остались довольны результатом.

На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!

Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы!

Будем рады видеть Вас в наших рядах!

Всегда ваш, фан-клуб "Лаборатории Касперского".