Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

trojan.multi.genautoruntask.c в системной памяти

makaron883

Автор makaron883
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

makaron883 Новичок

makaron883

Опубликовано
Опубликовано

Добрый день. Сегодня Kaspersky Free уведомил, что найден trojan.multi.genautoruntask.c в системной память и предложил удалить с перезагрузкой. Нажав на сообщение ничего не произошло, но вирус до сих пор висит в касперском. Удалить не получается и ребутов тоже не происходит.  Заранее спасибо

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe','');
 DeleteSchedulerTask('curl');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl.exe','64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe','64');
 DeleteSchedulerTask('curls');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты
makaron883 Новичок

makaron883

Опубликовано
  • Автор
Опубликовано

ответ 

 

Файл сохранён как

200531_134546_quarantine_5ed3b50aee62c.zip
Размер файла 323422
MD5 b793c4b97c6cd6ed59241eb5810ce851

 

Файл закачан, спасибо!

CollectionLog-2020.05.31-16.49.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {6EF40137-52D7-4D2A-B90C-78EBE3218E5F} - System32\Tasks\syslog => C:\Users\Администратор\AppData\Local\syslog\syslog.exe <==== ATTENTION
Toolbar: HKU\S-1-5-21-3807916114-3325496505-3287621252-500 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
Toolbar: HKU\S-1-5-21-3807916114-3325496505-3287621252-500 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X]
S3 MBAMFarflt; \??\C:\Windows\system32\drivers\farflt.sys [X]
S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X]
S2 UbarCalloutDriver; \??\C:\Program Files\UBar\UbarDriver.sys [X] <==== ATTENTION
C:\Users\Администратор\AppData\Roaming\curl
AlternateDataStreams: C:\Users\Администратор\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Администратор\Desktop\121111.jpeg:3or4kl4x13tuuug3Byamue2s4b [85]
AlternateDataStreams: C:\Users\Администратор\Desktop\121111.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Администратор\Desktop\21212121.jpeg:3or4kl4x13tuuug3Byamue2s4b [85]
AlternateDataStreams: C:\Users\Администратор\Desktop\21212121.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Администратор\Desktop\3333.jpeg:3or4kl4x13tuuug3Byamue2s4b [85]
AlternateDataStreams: C:\Users\Администратор\Desktop\3333.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Администратор\Desktop\44444.jpeg:3or4kl4x13tuuug3Byamue2s4b [85]
AlternateDataStreams: C:\Users\Администратор\Desktop\44444.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Администратор\Desktop\55555.jpeg:3or4kl4x13tuuug3Byamue2s4b [85]
AlternateDataStreams: C:\Users\Администратор\Desktop\55555.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Администратор\Desktop\снилс.jpeg:3or4kl4x13tuuug3Byamue2s4b [85]
AlternateDataStreams: C:\Users\Администратор\Desktop\снилс.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Администратор\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Цитата

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18665 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.20.2.34 v.3.20.2.34 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 17.00 beta (x64) v.17.00 beta Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Discord v.0.0.305 Внимание! Скачать обновления
Telegram Desktop version 1.2.17 v.1.2.17 Внимание! Скачать обновления
^Необязательное обновление.^
---------------------------- [ ProxyAndVPNs ] -----------------------------
SoftEther VPN Client v.4.24.9651 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u251-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.303 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Выполните рекомендованное, и на этом закончим.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • scaramuccia
      Системное администрирование
      Автор scaramuccia
      Добрый день. Нашему подразделению предоставляется лицензионный ключ Касперского. Я установил KSC, сделал его подчиненным указанному нам серверу, с которого распространяется ключ и политика, и к которому напрямую у меня нет доступа. Все работает и управляется прекрасно. Но многие полезные функции KSC мне недоступны из-за отсутствия лицензии на системное администрирование. Позволяет ли мне данная лицензия использовать системное администрирование? Или ее надо приобретать отдельно для своего сервера?

    • niktnt
      Зашифрованы BitLocker не системные диски
      Автор niktnt
      Добрый день.
      Шифровальщик загрузился на сервер из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\.
      На предположительном компьютере-источнике зашифрован и диск C:\
      Файлы о выкупе продолжают создаваться при старте системы.
      Addition.txt FRST.txt virus_bitlocker.zip
    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • juzvel
      BitLocker зашифрованы кроме системного раздела.
      Автор juzvel
      Добрый день. Зашифровались BitLocker'ом разделы, кроме системного. Диск смонтированный как папка не тронут(Это на другом ПК, с того хожу на этот по рдп). РДП открыт на нестандартном порту. Так же был изменен пароль пользователя, с этим разобрался. Шифрованых файлов на системном диске не обнаружил
      FRST.txtAddition.txtPLEASE READ.txt 
    • MrJackXIII
      Ошибка 0xc0000017 при запуске системных приложений и вводе команд dism.
      Автор MrJackXIII
      Доброго времени суток, скачал новый обход т.к. дискорд не работает, по итогу он не помог, решил найти проблему в интернете, предложили DNS прописать или скачать VP*, по итогу сделал и то и другое. Вначале было все хорошо, что-то из этого помогло, но сегодня зайдя в интернет у меня сразу же писало: "Отсутствует подключение к интернету"(ошибка решилась с помощью перезагрузки). Решил на всякий случай поменять DNS сервера обратно на автоматический (DHCP) и вылазит ошибка. В интернете поискал, многое перепробовал, но ничего не помогает, а может делает только хуже. 

×
×
  • Создать...