Trojan.Multi.GenAutorunProc.a

[Юлия22у 0]

Касперский пишет:

Обнаружено: trojan.Multi.GenAutorunProc.a
Расположение: Системная память

Проблема вот уже около 2х или 3х дней, никак не фиксится, вирус на какое-то время исчез, но сейчас снова появился.
Тему создаю второй раз, почему-то прошлая куда-то исчезла

CollectionLog-2020.03.06-02.10.zip

Изменено 5 марта, 2020 пользователем Юлия22у

[SQ 831]

Здравствуйте,


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Yulia\AppData\Roaming\Microsoft\Realtek\Optimiser\Product\Update\PciDriver.dll','');
 QuarantineFile('C:\Users\Yulia\AppData\Roaming\Microsoft\Windows\Certification\CA\mfcm141ud.dll','');
 QuarantineFile('C:\Users\Yulia\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll','');
 QuarantineFileF('C:\Users\Yulia\AppData\Roaming\WindowsShell', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
 DeleteFile('C:\Users\Yulia\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll','64');
 DeleteSchedulerTask('Win32Utilities');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму



Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

[Юлия22у 0]

@SQ, 

quarantine.zip

DESKTOP-A38AGCJ_2020-03-06_14-56-36_v4.1.8.7z

[SQ 831]

Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo D:\AUTORUN.INF
delref %SystemDrive%\USERS\YULIA\APPDATA\ROAMING\MICROSOFT\REALTEK\OPTIMISER\PRODUCT\UPDATE\PCIDRIVER.DLL
delref %SystemDrive%\USERS\YULIA\APPDATA\ROAMING\MICROSOFT\WINDOWS\CERTIFICATION\CA\MFCM141UD.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\USERS\YULIA\APPDATA\LOCAL\TEMP\WCTE0A3.TMP
delref %SystemDrive%\USERS\YULIA\APPDATA\LOCAL\TEMP\CHROME_BITS_27232_2004404824\ALXH28TGNVLEIU63BKH29LW
restart

Сообщите, что с проблемой?

[Юлия22у 0]

Архив Zoo не появился, только папка с файлом AUTORUN.INF, поэтому скидываю то, что появилось после выполнения скрипта

Сейчас делаю полную проверку, но она занимает много времени, поэтому отпишусь часов через 5

2020-03-06_15-53-49_log.txt

ZOO.rar

[SQ 831]

В карантине zoo файл autorun.inf не предтавляет угрозы.

Отпишите пожалуйста, как будет известно результат полного сканирования.

[Юлия22у 0]

После полной проверки вирус не появлялся, однако выскочило предупреждение о том, что один объект не обработан, а именно not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen

[SQ 831]

После полной проверки вирус не появлялся, однако выскочило предупреждение о том, что один объект не обработан, а именно not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen

 Для исправления выполните следующее в AVZ:

 

"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

[Юлия22у 0]

Все выполнила, теперь вируса нет и касперский ни на что не ругается. Спасибо большое! Буду наблюдать дальше, надеюсь, подобного больше не случится.

[SQ 831]

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.