Перейти к содержанию

[РЕШЕНО] Trojan.Multi.GenAutorunProc.a


Рекомендуемые сообщения

Подцепил 2 дня назад троян. Стоит Kaspersky Inthernet Security 10. Находит Trojan.Multi.GenAutorunProc.a в Системной памяти, лечение с перезапуском не помогает. После перезапуска троян находится в системной памяти снова.

Из заметных воздействий была только сильная загрузка цп и как следствие лаги как браузера, так и игры. Диспетчер задач не находил процессов использующих так сильно цп.

Лаги не появляются моментально. Заметны они стали только после 1-3 часов работы компьютера. 

Полная проверка не даёт результатов.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Alex\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll','');
 DeleteFile('C:\Users\Alex\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll','64');
 DeleteSchedulerTask('Win32Utilities');
 DeleteSchedulerTask('Microsoft\Windows\Application Experience\StartupAppTask');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Результат загрузки Файл сохранён как 200305_164141_quarantine_5e612bc5e5c9a.zip Размер файла 2979 MD5 aa742e617cc26441519007d897f68d44 Файл закачан, спасибо!

 

CollectionLog-2020.03.05-20.06.zip

Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 05.03.2020 23:15:15

Path starting: C:\Users\Alex\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Alex

VersionXML: 7.26is-01.03.2020

___________________________________________________________________________

 

Windows 10(6.3.18362) (x64) Core Версия: 1903 Lang: Russian(0419)

Дата установки ОС: 11.08.2019 01:30:10

Статус лицензии: Windows®, Core edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [110.8 Гб] Занято: [94.7 Гб] Свободно: [16.1 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.535.18362.0 Внимание! Скачать обновления

Контроль учётных записей пользователя включен (Уровень 3)

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба работает

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

Восстановление системы отключено

---------------------------- [ Antivirus_WMI ] ----------------------------

Windows Defender (выключен и обновлен)

Kaspersky Internet Security (включен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Internet Security (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Internet Security (включен и обновлен)

Windows Defender (выключен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Internet Security v.20.0.14.1085

--------------------------- [ OtherUtilities ] ----------------------------

Node.js v.8.9.3 Внимание! Скачать обновления

NVIDIA GeForce Experience 3.15.0.164 v.3.15.0.164 Внимание! Скачать обновления

Oracle VM VirtualBox 5.2.20 v.5.2.20 Внимание! Скачать обновления

Steam v.2.10.91.91

Microsoft Silverlight v.5.1.20513.0 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

7-Zip 19.00 (x64) v.19.00

--------------------------------- [ IM ] ----------------------------------

Discord v.0.0.306 [+]

Skype™ 7.40 v.7.40.104 Внимание! Скачать обновления

---------------------------- [ ProxyAndVPNs ] -----------------------------

Kaspersky Secure Connection v.20.0.14.1085

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 241 (64-bit) v.8.0.2410.7

Java 8 Update 241 v.8.0.2410.7

Java SE Development Kit 8 Update 192 v.8.0.1920.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-8u241-windows-i586.exe)^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.80.0.3987.122

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 20.0 (AVP20.0) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 20.0\avp.exe v.20.0.14.1085

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 20.0\avpui.exe v.20.0.21.1325

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 4.0\ksde.exe v.20.0.14.1085

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 4.0\ksdeui.exe v.20.0.21.1325

Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

Амиго v.56.0.2924.197 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

----------------------------- [ End of Log ] ------------------------------

Ссылка на сообщение
Поделиться на другие сайты

Программы обновил, касперский вируса не находит, спасибо за помощь.

 

Амиго у меня существует в теневом виде уже 3 год. Когда он начал устанавливаться я убил процесс который ставил его, после чего удалил на диске C все подозрительные папки, но виндовс считает что он всё ещё установлен.

Вы можете порекомендовать что-нибудь что может удалить его до конца?

Ссылка на сообщение
Поделиться на другие сайты
  • 6 months later...

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...