Перейти к содержанию

[РЕШЕНО] Прошу помочь удалить вирус trojan.multi.genautoruntask.c в системной памяти.


Рамиль34

Рекомендуемые сообщения

Соберите заново свежий лог uVS. На время сбора логов антивирус отключите, а вирус не удаляйте (чтобы засветился в логе). На всякий случай советую на это время отключить и интернет.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

13.02.2021 в 00:08, regist сказал:

Соберите заново свежий лог uVS. На время сбора логов антивирус отключите, а вирус не удаляйте (чтобы засветился в логе). На всякий случай советую на это время отключить и интернет.

Добрый день. Все во вложении.

FRST.txt Addition.txt DESKTOP-IMVEP3K_2021-02-15_08-13-24_v4.11.3.7z

Ссылка на комментарий
Поделиться на другие сайты

Selectel Network - ваш провайдер?

Соберите ещё свежие логи Автологером, как указано в правилах раздела.

+ дополнительно

 

Скачайте, распакуйте и запустите GetSystemInfo (GSI). Прочтите и согласитесь с лицензионным соглашением программы нажав кнопку Accept. Нажмите на кнопку старта в правой части окна утилиты (приблизительное время сбора отчета составляет 10 минут). После окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.
Подробнее читайте в руководстве.

 

 

+ Перед тем как собирать свежие логи поменяйте в настройках роутера [DhcpNameServer] 192.168.0.1 - на DNS вашего провайдера.

 

Ссылка на комментарий
Поделиться на другие сайты

52 минуты назад, regist сказал:

Selectel Network - ваш провайдер?

Нет, у меня Ростелеком.

 

51 минуту назад, regist сказал:

Перед тем как собирать свежие логи поменяйте в настройках роутера [DhcpNameServer] 192.168.0.1 - на DNS вашего провайдера.

Честно сказать роутер у меня  так же от Ростелекома. И где менять эти настройки я не знаю. Сейчас посмотрю на роутере написан ли его адрес.

Ссылка на комментарий
Поделиться на другие сайты

6 часов назад, regist сказал:

Скачайте, распакуйте и запустите GetSystemInfo (GSI). Прочтите и согласитесь с лицензионным соглашением программы нажав кнопку Accept. Нажмите на кнопку старта в правой части окна утилиты (приблизительное время сбора отчета составляет 10 минут). После окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.

https://www.getsysteminfo.com/report/ed106c257dc43c6d8dc411dc351f17b5

 

6 часов назад, regist сказал:

Соберите ещё свежие логи Автологером, как указано в правилах раздела.

 

CollectionLog-2021.02.15-14.24.zip

Ссылка на комментарий
Поделиться на другие сайты

5 часов назад, Sandor сказал:

Смотрите договор с провайдером, там должно быть это указано.

Если в договоре не написано, то позвоните к ним тех. поддержку. Также если не знаете как изменить адрес, то можете попросить помочь и с этим.

После того как это сделаете

"Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [SearchList] = localdomain

И соберите свежие логи Автологером.

 

+ Путь к папке документы сами изменили?

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal = C:\Documents
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Personal = %SystemDrive%\Documents

 

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

15.02.2021 в 18:36, regist сказал:

Если в договоре не написано, то позвоните к ним тех. поддержку. Также если не знаете как изменить адрес, то можете попросить помочь и с этим.

Добрый день. Попытался я поменять ДНС, но интернет отвалился. Прикладываю скрин.

 

Так же сегодня антивирус попрежнему находит вирус. При лечении без перезагрузки удаляет несколько троянов. отчет касперского прикладываю.

ДНС.jpg

отчет Касперского.txt

Изменено пользователем Рамиль34
Ссылка на комментарий
Поделиться на другие сайты

15.02.2021 в 18:36, regist сказал:

+ Путь к папке документы сами изменили?

Почему игнорируете?

 

По поводу скрина настройка роутера к данному разделу никак не относится. Можете позвонить в тех. поддержку провайдера и попросить помочь вам его настроить, по идее должны и удалённо от себя это сделать.

Либо попросить помощи в соседнем разделе: Компьютерная помощь.

Ссылка на комментарий
Поделиться на другие сайты

8 часов назад, regist сказал:

Почему игнорируете?

Нет, ничего я не менял.

 

8 часов назад, regist сказал:

По поводу скрина настройка роутера к данному разделу никак не относится. Можете позвонить в тех. поддержку провайдера и попросить помочь вам его настроить, по идее должны и удалённо от себя это сделать.

Либо попросить помощи в соседнем разделе: Компьютерная помощь.

Сейчас разговаривал с тех.поддержкой ростеклекома, они говорят что ДНС адреса у них присваиваются автоматически и возможности их менять нет ни на их стороне ни у меня в роутере. Как быть?

Изменено пользователем Рамиль34
Ссылка на комментарий
Поделиться на другие сайты

Они явно вас не поняли, либо как часто бывает не повезло с оператором.

Скажите, что вам вирус подменил DNS на троянские и вам надо вручную прописать в роутере их DNS.

Ссылка на комментарий
Поделиться на другие сайты

17 минут назад, regist сказал:

Они явно вас не поняли, либо как часто бывает не повезло с оператором.

Скажите, что вам вирус подменил DNS на троянские и вам надо вручную прописать в роутере их DNS.

Еще раз пообщался с техподдержкой Ростелеком. Сказал прям как вы написали что вирус подменил ДНС. Они говорят что у них ДНС автоматический и меняется при каждой сессии. И тем более что у меня роутер так же Ростелекомовский, и у них в прошивке так же заложен автоматический ДНС. Ничего поменять они не могут. Говорят что даже если вирус что-то поменяет, то у меня не будет интернета. Но через час предположим, ДНС снова изменится автоматически и все заработает.

Ссылка на комментарий
Поделиться на другие сайты

Значит "повезло" с оператором. Создайте тему в соседнем разделе и попросите помочь  с настройка роутера. Там возможно на вкладке WAN надо настроить.

Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, regist сказал:

Значит "повезло" с оператором. Создайте тему в соседнем разделе и попросите помочь  с настройка роутера. Там возможно на вкладке WAN надо настроить.

Создал 

 

 

15.02.2021 в 18:36, regist сказал:

 

15.02.2021 в 18:36, regist сказал:

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal = C:\Documents O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Personal = %SystemDrive%\Documents

Это тоже надо было фиксить?

HiJackThis.log

Ссылка на комментарий
Поделиться на другие сайты

Раз сами не переназначали, то тогда да.

Пофиксьте в Хиджак

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal = C:\Documents
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Personal = %SystemDrive%\Documents
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)


Затем сделайте такой лог

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.11 [http://dsrt.dyndns.org]
    v400c
    
    adddir %SystemDrive%\PROGRAMDATA
    crimg
    
  6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Dmdozors1982
      Автор Dmdozors1982
      Добрый день, помогите удалить майнер tool.btcmine.2794. Обезвредил его с помощью Curelt, сделал лог, прикрепил
      CollectionLog-2025.07.09-21.11.zip
    • -AdviZzzor-
      Автор -AdviZzzor-
      Здравствуйте!
      Вероятно поймал вирус. KTS ругнулся на какой-то файл, связанный с хромом (ещё показалось это странным - я им редко пользуюсь), сказал что удалит с перезагрузкой. ОК.
      Но при перезагрузке быстро вылезли 2-3 окна с ошибкой - даже не успел прочитать. KTS потом написал что всё норм, но я уже не поверил. И довольно быстро нашёл что в Центре обновления Windows практически отсутствует текст и она не работает. Полез искать службу, она оказалась выключенной и переименованной в wuauserv_bkp. При попытке запуска ошибка 1053 служба не ответила на запрос своевременно. В инете нашёл ссылку на ваш форум, где описываются близкие симптомы. Ещё в темах писали, что кроме wuauserv_bkp, изменялись другие службы UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp - посмотрел, у меня тоже самое. Полез в реестр и там удалял _bkp. Вроде всё переименовал кроме BITS_bkp (там две ветки, ещё нормальный BITS), его не переменовть ни удалить нельзя. Перезагрузился и вроде Центре обновления Windows заработал (всё там появилось как надо), служба стала wuauserv. Вот только полностью я вирус точно не удалил. KTS и kaspersky virus removal tool ничего такго не находят.
      Помогите избавиться от него. 
      CollectionLog-2025.07.10-08.10.zip
    • ggruzin
      Автор ggruzin
      Здравствуйте, помогите удалить вирус авто кликcollectionLog.rarер. Не находится анти вирусами kaspersky free, malwarebytes , лечащей утилитой KVRT
      поймал на какой то копии сайта kinogo
      Заранее спасибо!
    • Nickopol
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
×
×
  • Создать...