Перейти к содержанию
Правила раздела

[РЕШЕНО] Прошу помочь удалить вирус trojan.multi.genautoruntask.c в системной памяти.

Рамиль34

Автор Рамиль34
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 88
  • Создана
  • Последний ответ

Топ авторов темы

  • Рамиль34

    43

  • Sandor

    23

  • regist

    22

  • kmscom

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

regist
regist

Соберите заново свежий лог uVS. На время сбора логов антивирус отключите, а вирус не удаляйте (чтобы засветился в логе). На всякий случай советую на это время отключить и интернет.

Изображения в теме

Sandor

Sandor

Опубликовано
Опубликовано
9 минут назад, Sandor сказал:

NetShield Kit 1.3.30.0 по-прежнему в перечне установленных.

Если не удаляется стандартно, удалите принудительно через Geek Uninstaller

Это удалили?

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
ShortcutTarget: System.lnk -> C:\savesref\System.vbe () [File not signed]
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Folder: C:\savesref\
C:\savesref\System.vbe
Zip: c:\FRST\Quarantine\
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  • На рабочем столе появится архив Date_Time.zip (Дата_Время). Его тоже прикрепите.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Рамиль34

Рамиль34

Опубликовано
  • Автор
Опубликовано
29 минут назад, Sandor сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    


Start::
SystemRestore: On
CreateRestorePoint:
ShortcutTarget: System.lnk -> C:\savesref\System.vbe () [File not signed]
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Folder: C:\savesref\
C:\savesref\System.vbe
Zip: c:\FRST\Quarantine\
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  • На рабочем столе появится архив Date_Time.zip (Дата_Время). Его тоже прикрепите.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Сделал как вы сказали. Появился еще один троян. скрин во вложении.

скрин.png

Fixlog.txt 11.02.2021_11.33.56.zip

Ссылка на комментарий
Поделиться на другие сайты
Рамиль34

Рамиль34

Опубликовано
  • Автор
Опубликовано (изменено)
8 минут назад, Sandor сказал:

Что происходит при нажатии кнопок "Устранить" в антивирусе?

Предлагает лечить с перезагрузкой. Потом происходит лечение активного заражения, доходит до 100%. комп перезагружается и все, потом опять появляется этот троян.

 

Изменено пользователем Рамиль34
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Понимаю, что так было. Сейчас вы это повторили с тем же результатом?

 

Проделайте ещё следующее:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на комментарий
Поделиться на другие сайты
Рамиль34

Рамиль34

Опубликовано
  • Автор
Опубликовано
15 минут назад, Sandor сказал:

Проделайте ещё следующее:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Сделал.

DESKTOP-IMVEP3K_2021-02-11_12-13-24_v4.11.3.7z

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: 
    ;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
;---------command-block---------
zoo %SystemDrive%\SAVESREF\SYSTEM.LNK
delall %SystemDrive%\SAVESREF\SYSTEM.LNK
delref %SystemDrive%\SAVESREF\SYSTEM.VBE
delref %SystemDrive%\USERS\РАМИЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH\2.0.1.20_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\РАМИЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.15_0\СТАРТОВАЯ — ЯНДЕКС
zoo %SystemDrive%\USERS\РАМИЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.LNK
delall %SystemDrive%\USERS\РАМИЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.LNK
delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIO-GUI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
apply

deltmp
restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве.

 

Очистите журналы антивируса и понаблюдайте.

Если повторится, обратите внимание запущен ли в это время браузер. Если да, какой?

Ссылка на комментарий
Поделиться на другие сайты
Рамиль34

Рамиль34

Опубликовано
  • Автор
Опубликовано
5 часов назад, Sandor сказал:
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: 
    

;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
;---------command-block---------
zoo %SystemDrive%\SAVESREF\SYSTEM.LNK
delall %SystemDrive%\SAVESREF\SYSTEM.LNK
delref %SystemDrive%\SAVESREF\SYSTEM.VBE
delref %SystemDrive%\USERS\РАМИЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH\2.0.1.20_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\РАМИЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.15_0\СТАРТОВАЯ — ЯНДЕКС
zoo %SystemDrive%\USERS\РАМИЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.LNK
delall %SystemDrive%\USERS\РАМИЛЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SYSTEM.LNK
delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIO-GUI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
apply

deltmp
restart

     

  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве.

 

Очистите журналы антивируса и понаблюдайте.

Если повторится, обратите внимание запущен ли в это время браузер. Если да, какой?

При загрузке, не открывая никаких программ. Сразу выдает что есть вирус. как тот скрин которые я ранее высылал.

Все сделал по вашей инструкции. Пока результата нет. Троян по прежнему находится Касперским.

 

Вчера так же сканировал компьютер прогой Доктор веб cureit. Он вообще ничего не нашел. Хотя из практики, выявляет и удаляет более качественно.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kubanrentgen
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов
      Автор kubanrentgen
      Утром 6.12.2022 на компьютере обнаружили зашифрованные файлы.
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов.
      Addition.txt FRST.txt Образцы.rar virus.rar
    • Anton3456
      [РЕШЕНО] появился вирус
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • HOUSEDause
      Помогите удалить вирус taskhost.exe
      Автор HOUSEDause
      Удалял вирус полностью и через безопасный режим, как только не пытался.
      Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
      Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
      ПОМОГИТИ
      Не скачиваются антивирусы
    • АртёмБ
      [РЕШЕНО] системный администратор ограничил доступ к некоторым областям этого приложения
      Автор АртёмБ
      Недавно я обнаружил проблему, после того как я решил проверить файл антивируском Window, у меня вылезла плашка:Ваш системный администратор ограничил доступ к некоторым областям этого приложения, в том числе к элементу, к которому вы пытаетесь получить доступ.Чтобы узнать больше, свяжитесь со службой технической поддержки вашего IT-отдела.
       
       
      Проверить я решил только установившуюся взломанную яндекс музыку скачанную через гитхаб, незнаю из за нее это все началось или нет, но касперский премиум ничего там не нашел, по крайне мере в нераспакованном архиве, так как после того как эта плашка у меня вылезла, я сразу удалил все распакованное. Еще я использовал Booster X для улучшения производительности в играх, там оптимизировал все на оптимальный уровень, от чего некоторые слыжбы безопасности и другие службы отключались.
      Так же я не могу включить центр обеспечения безопасности и центр обновления Windows
       
       
      Я не смог скачать автоматический сборщик логов Safezone.сс и его зеркала, так как что то блокирует его загрузку(не использует интернет для его скачачивания), потому что со скачиванием чего то другого проблем нет,поэтому в его скачивании мне тоже нужна помощь, а также блокирует множество утилитов которые описаны в решениях этой проблемы, например файлы из Каталога Центра обновления Майкрософт(но все же я 1 момент у меня как то получилось скачать обновление Update for Windows Security platform - KB5007651 (Version 10.0.27840.1000) когда я открыл ссылку в режиме инкогнито,
       так же не могу прописывать множество команд в Win+R(выполнить) например gpedit.msc, secpol.msc.
      Ниже окно после проверки Kaspersky Virus Removal Tool
       
       
      при всем этом в диспетчере задач антивирус показывается включенным так это или нет я не знаю, со скачивание всех остальных антивирусных программ проблем тоже не было
       
       
      Вот полный отчет с последнего полного сканирования Отчет.txt (что то уже удалено)
      Возможно я не написал все что нужно так что если нужна будет дополнительная информация по чему либо пишите.
       
       
    • Dmdozors1982
      [РЕШЕНО] Помогите удалить tool.btcmine.2794
      Автор Dmdozors1982
      Добрый день, помогите удалить майнер tool.btcmine.2794. Обезвредил его с помощью Curelt, сделал лог, прикрепил
      CollectionLog-2025.07.09-21.11.zip
×
×
  • Создать...