Перейти к содержанию

[РЕШЕНО] Прошу помочь удалить вирус trojan.multi.genautoruntask.c в системной памяти.


Рамиль34

Рекомендуемые сообщения

9 часов назад, regist сказал:

да, это нормально. Закачайте архив с трассировками на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

Архив:

https://disk.yandex.ru/d/qyJqE2nd10lajg

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

Давайте попробуем ещё так собрать лог

 

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
    v400c
    
    adddir %SystemDrive%\PROGRAM FILES (X86)
    crimg
    

     

  6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению.

 

 

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, regist сказал:

Прикрепите этот образ к следующему сообщению.

Прикрепил. Уточните пожалуйста, вы не видите в логах Трояна или пока не знаете как с ним бороться?

DESKTOP-IMVEP3K_2021-02-21_00-54-36_v4.11.3.7z

Ссылка на комментарий
Поделиться на другие сайты

8 часов назад, Рамиль34 сказал:

Прикрепил. Уточните пожалуйста, вы не видите в логах Трояна или пока не знаете как с ним бороться?

Видно его работу, но не видно откуда он изначально запускается.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте и проверьте систему этой версией KVRT.

По окончанию лечения заархивируйте и пришлите папку C:\KVRT_Data

 

+ Пожалуйста, заархивируйте папку

C:\Program Files (x86)\Malwarebytes\

загрузите на обменник и пришлите ссылку на неё.

Ссылка на комментарий
Поделиться на другие сайты

23.02.2021 в 06:52, regist сказал:

пришлите папку C:\KVRT_Data

У меня такой папки нет.

 

 

C:\Program Files (x86)\Malwarebytes\

 

https://disk.yandex.ru/d/YPAg8ulfS7Bsdg

KVRT.jpg

Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, Рамиль34 сказал:

У меня такой папки нет.

Указания надо выполнять последовательно.

23.02.2021 в 06:52, regist сказал:

Скачайте и проверьте систему этой версией KVRT.

Если вы не скачали и не пролечились ей, то и папки разумеется не будет. Жду архива с этой папкой.

 

+ Деинсталируйте MBAM.

После этого пару раз перезагрузите компьютер и проверьте проблема по прежнему будет стабильно воспроизводиться?

Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, regist сказал:

Указания надо выполнять последовательно.

Почему вы думаете что я не скачал и не сделал то что вы просили? Я даже скрин сделал что я KVRT. загрузил и проверил. Но папку такую я не нашел после лечения.

 

 

4 часа назад, regist сказал:

После этого пару раз перезагрузите компьютер и проверьте проблема по прежнему будет стабильно воспроизводиться?

Перезагрузил комп раза три, пока чисто, ничего не находит при запуске.

Ссылка на комментарий
Поделиться на другие сайты

А MBAM вообще сами ставили?

 

 

  • Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Рамиль34 сказал:

Да, по указанию ваших коллег.

 

Это явно не так, ибо установлен он у вас был 5 октября 2020 года.

А коллега, всего-лишь просил собрать им лог раз он уже у вас стоит

 

 

Желательно обновить:

Microsoft OneDrive v.21.002.0104.0005 Внимание! Скачать обновления
Python 3.8.5 (32-bit) v.3.8.5150.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.9.2 Внимание! Скачать обновления
TeamViewer v.15.14.5 Внимание! Скачать обновления
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
WhatsApp v.2.2033.7 Внимание! Скачать обновления

 

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, regist сказал:

Это явно не так, ибо установлен он у вас был 5 октября 2020 года.

Все может быть, т.к. есть у меня "хакер" 10-и летний. Мог и он установить). Но лично я скачивал его с сайта, что бы провести необходимые проверки после того как мне сказал ваш специалист.

Ссылка на комментарий
Поделиться на другие сайты

10 часов назад, Рамиль34 сказал:

Но лично я скачивал его с сайта, что бы провести необходимые проверки после того как мне сказал ваш специалист.

Возможно вы путаете с

09.02.2021 в 17:20, Sandor сказал:

Скачайте AdwCleaner (by Malwarebytes)

А интересно было именно по MBAM.

Ладно, тему тогда помечаю решённой и закрываю.

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Dmdozors1982
      Автор Dmdozors1982
      Добрый день, помогите удалить майнер tool.btcmine.2794. Обезвредил его с помощью Curelt, сделал лог, прикрепил
      CollectionLog-2025.07.09-21.11.zip
    • -AdviZzzor-
      Автор -AdviZzzor-
      Здравствуйте!
      Вероятно поймал вирус. KTS ругнулся на какой-то файл, связанный с хромом (ещё показалось это странным - я им редко пользуюсь), сказал что удалит с перезагрузкой. ОК.
      Но при перезагрузке быстро вылезли 2-3 окна с ошибкой - даже не успел прочитать. KTS потом написал что всё норм, но я уже не поверил. И довольно быстро нашёл что в Центре обновления Windows практически отсутствует текст и она не работает. Полез искать службу, она оказалась выключенной и переименованной в wuauserv_bkp. При попытке запуска ошибка 1053 служба не ответила на запрос своевременно. В инете нашёл ссылку на ваш форум, где описываются близкие симптомы. Ещё в темах писали, что кроме wuauserv_bkp, изменялись другие службы UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp - посмотрел, у меня тоже самое. Полез в реестр и там удалял _bkp. Вроде всё переименовал кроме BITS_bkp (там две ветки, ещё нормальный BITS), его не переменовть ни удалить нельзя. Перезагрузился и вроде Центре обновления Windows заработал (всё там появилось как надо), служба стала wuauserv. Вот только полностью я вирус точно не удалил. KTS и kaspersky virus removal tool ничего такго не находят.
      Помогите избавиться от него. 
      CollectionLog-2025.07.10-08.10.zip
    • ggruzin
      Автор ggruzin
      Здравствуйте, помогите удалить вирус авто кликcollectionLog.rarер. Не находится анти вирусами kaspersky free, malwarebytes , лечащей утилитой KVRT
      поймал на какой то копии сайта kinogo
      Заранее спасибо!
    • Nickopol
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
×
×
  • Создать...