trojan.multi.genautoruntask.c в системной памяти

[makaron883]

Добрый день. Сегодня Kaspersky Free уведомил, что найден trojan.multi.genautoruntask.c в системной память и предложил удалить с перезагрузкой. Нажав на сообщение ничего не произошло, но вирус до сих пор висит в касперском. Удалить не получается и ребутов тоже не происходит.  Заранее спасибо

[makaron883]

отчет прилагаю

отчет о проверке 1.txt

CollectionLog-2020.05.31-15.22.zip

Изменено 31 мая, 2020 пользователем makaron883

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe','');
 DeleteSchedulerTask('curl');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl.exe','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe','64');
 DeleteSchedulerTask('curls');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[makaron883]

ответ    Файл сохранён как	200531_134546_quarantine_5ed3b50aee62c.zip
Размер файла	323422
MD5	b793c4b97c6cd6ed59241eb5810ce851

 

Файл закачан, спасибо!

CollectionLog-2020.05.31-16.49.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[makaron883]

все сделал 

логи архив.rar

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {6EF40137-52D7-4D2A-B90C-78EBE3218E5F} - System32\Tasks\syslog => C:\Users\Администратор\AppData\Local\syslog\syslog.exe <==== ATTENTION
Toolbar: HKU\S-1-5-21-3807916114-3325496505-3287621252-500 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
Toolbar: HKU\S-1-5-21-3807916114-3325496505-3287621252-500 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X]
S3 MBAMFarflt; \??\C:\Windows\system32\drivers\farflt.sys [X]
S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X]
S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X] <==== ATTENTION
C:\Users\Администратор\AppData\Roaming\curl
AlternateDataStreams: C:\Users\Администратор\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Администратор\Desktop\121111.jpeg:3or4kl4x13tuuug3Byamue2s4b [85]
AlternateDataStreams: C:\Users\Администратор\Desktop\121111.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Администратор\Desktop\21212121.jpeg:3or4kl4x13tuuug3Byamue2s4b [85]
AlternateDataStreams: C:\Users\Администратор\Desktop\21212121.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Администратор\Desktop\3333.jpeg:3or4kl4x13tuuug3Byamue2s4b [85]
AlternateDataStreams: C:\Users\Администратор\Desktop\3333.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Администратор\Desktop\44444.jpeg:3or4kl4x13tuuug3Byamue2s4b [85]
AlternateDataStreams: C:\Users\Администратор\Desktop\44444.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Администратор\Desktop\55555.jpeg:3or4kl4x13tuuug3Byamue2s4b [85]
AlternateDataStreams: C:\Users\Администратор\Desktop\55555.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Администратор\Desktop\снилс.jpeg:3or4kl4x13tuuug3Byamue2s4b [85]
AlternateDataStreams: C:\Users\Администратор\Desktop\снилс.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Администратор\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

[makaron883]

окFixlog.txt

[thyrex]

Что с проблемой?

[makaron883]

 

появилась другая ))))

 

[thyrex]

Если Вы про первую строку, так это драйвер AVZ

[makaron883]

тогда все в порядке

спасибо большое 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[makaron883]

скинул

SecurityCheck.txt

[thyrex]

Цитата

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18665 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.20.2.34 v.3.20.2.34 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 17.00 beta (x64) v.17.00 beta Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Discord v.0.0.305 Внимание! Скачать обновления
Telegram Desktop version 1.2.17 v.1.2.17 Внимание! Скачать обновления
^Необязательное обновление.^
---------------------------- [ ProxyAndVPNs ] -----------------------------
SoftEther VPN Client v.4.24.9651 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u251-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.303 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Выполните рекомендованное, и на этом закончим.