makaron883 0 Опубликовано 31 мая, 2020 Share Опубликовано 31 мая, 2020 Добрый день. Сегодня Kaspersky Free уведомил, что найден trojan.multi.genautoruntask.c в системной память и предложил удалить с перезагрузкой. Нажав на сообщение ничего не произошло, но вирус до сих пор висит в касперском. Удалить не получается и ребутов тоже не происходит. Заранее спасибо Цитата Ссылка на сообщение Поделиться на другие сайты
makaron883 0 Опубликовано 31 мая, 2020 Автор Share Опубликовано 31 мая, 2020 (изменено) отчет прилагаю отчет о проверке 1.txt CollectionLog-2020.05.31-15.22.zip Изменено 31 мая, 2020 пользователем makaron883 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 мая, 2020 Share Опубликовано 31 мая, 2020 Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe',''); DeleteSchedulerTask('curl'); DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl.exe','64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe','64'); DeleteSchedulerTask('curls'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678 Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
makaron883 0 Опубликовано 31 мая, 2020 Автор Share Опубликовано 31 мая, 2020 ответ Файл сохранён как 200531_134546_quarantine_5ed3b50aee62c.zip Размер файла 323422 MD5 b793c4b97c6cd6ed59241eb5810ce851 Файл закачан, спасибо! CollectionLog-2020.05.31-16.49.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 мая, 2020 Share Опубликовано 31 мая, 2020 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
makaron883 0 Опубликовано 31 мая, 2020 Автор Share Опубликовано 31 мая, 2020 все сделал логи архив.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 мая, 2020 Share Опубликовано 31 мая, 2020 1. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {6EF40137-52D7-4D2A-B90C-78EBE3218E5F} - System32\Tasks\syslog => C:\Users\Администратор\AppData\Local\syslog\syslog.exe <==== ATTENTION Toolbar: HKU\S-1-5-21-3807916114-3325496505-3287621252-500 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File Toolbar: HKU\S-1-5-21-3807916114-3325496505-3287621252-500 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} - No File S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X] S3 MBAMFarflt; \??\C:\Windows\system32\drivers\farflt.sys [X] S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X] S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X] <==== ATTENTION C:\Users\Администратор\AppData\Roaming\curl AlternateDataStreams: C:\Users\Администратор\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Администратор\Desktop\121111.jpeg:3or4kl4x13tuuug3Byamue2s4b [85] AlternateDataStreams: C:\Users\Администратор\Desktop\121111.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Администратор\Desktop\21212121.jpeg:3or4kl4x13tuuug3Byamue2s4b [85] AlternateDataStreams: C:\Users\Администратор\Desktop\21212121.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Администратор\Desktop\3333.jpeg:3or4kl4x13tuuug3Byamue2s4b [85] AlternateDataStreams: C:\Users\Администратор\Desktop\3333.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Администратор\Desktop\44444.jpeg:3or4kl4x13tuuug3Byamue2s4b [85] AlternateDataStreams: C:\Users\Администратор\Desktop\44444.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Администратор\Desktop\55555.jpeg:3or4kl4x13tuuug3Byamue2s4b [85] AlternateDataStreams: C:\Users\Администратор\Desktop\55555.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Администратор\Desktop\снилс.jpeg:3or4kl4x13tuuug3Byamue2s4b [85] AlternateDataStreams: C:\Users\Администратор\Desktop\снилс.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\Администратор\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать). 3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
makaron883 0 Опубликовано 31 мая, 2020 Автор Share Опубликовано 31 мая, 2020 окFixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 мая, 2020 Share Опубликовано 31 мая, 2020 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
makaron883 0 Опубликовано 31 мая, 2020 Автор Share Опубликовано 31 мая, 2020 появилась другая )))) Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 мая, 2020 Share Опубликовано 31 мая, 2020 Если Вы про первую строку, так это драйвер AVZ Цитата Ссылка на сообщение Поделиться на другие сайты
makaron883 0 Опубликовано 31 мая, 2020 Автор Share Опубликовано 31 мая, 2020 тогда все в порядке спасибо большое Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 мая, 2020 Share Опубликовано 31 мая, 2020 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
makaron883 0 Опубликовано 31 мая, 2020 Автор Share Опубликовано 31 мая, 2020 скинул SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 мая, 2020 Share Опубликовано 31 мая, 2020 Цитата ------------------------------- [ Windows ] ------------------------------- Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз Internet Explorer 11.0.9600.18665 Внимание! Скачать обновления Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления NVIDIA GeForce Experience 3.20.2.34 v.3.20.2.34 Внимание! Скачать обновления -------------------------------- [ Arch ] --------------------------------- 7-Zip 17.00 beta (x64) v.17.00 beta Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую. WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Discord v.0.0.305 Внимание! Скачать обновления Telegram Desktop version 1.2.17 v.1.2.17 Внимание! Скачать обновления ^Необязательное обновление.^ ---------------------------- [ ProxyAndVPNs ] ----------------------------- SoftEther VPN Client v.4.24.9651 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u251-windows-x64.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 32 PPAPI v.32.0.0.303 Внимание! Скачать обновления ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Выполните рекомендованное, и на этом закончим. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.