Перейти к содержанию

Рекомендуемые сообщения

Добрый день. Помогите, пожалуйста, с удалением вирусов. Kaspersky KIS находит 2 вируса - Trojan.Multi.GenAutorunTask.c, Trojan.Multi.GenAutorunTaskFile.a. Проводит лечение активного заражения с перезагрузкой и снова их находит. Странно то, что Касперский стал ругаться после обновления Windows.

 

Kaspersky Virus Removal Tool не нашел угроз.

 

Прикрепила логи.

 

CollectionLog-2021.02.11-14.17.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

NetShield Kit 1.3.28.0

VKMusic 4

 

 

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
R0 - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
R3 - HKCU\..\URLSearchHooks: (no name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - (no file)
O17 - DHCP DNS 1: 185.192.111.210
O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{42efc9c9-0843-433b-95da-54a36e0e3bde}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{42efc9c9-0843-433b-95da-54a36e0e3bde}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{4f3f0300-1142-4429-aa4d-1eaaa370ed77}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{4f3f0300-1142-4429-aa4d-1eaaa370ed77}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{961c5ac6-7849-498a-b85d-66f160b4a6ed}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{961c5ac6-7849-498a-b85d-66f160b4a6ed}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{ad06896e-4897-11e8-bd97-806e6f6e6963}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{ad06896e-4897-11e8-bd97-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{cd96a407-ae07-4b64-9c58-dd9955843237}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{cd96a407-ae07-4b64-9c58-dd9955843237}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{d8b776f8-e09a-4c84-a37a-b42368ae403d}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{d8b776f8-e09a-4c84-a37a-b42368ae403d}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{ed89674e-7fdc-4bdc-b813-0eb39ce88650}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{ed89674e-7fdc-4bdc-b813-0eb39ce88650}: [NameServer] = 37.59.58.122
O22 - Task: VKDJ - C:\ProgramData\VkontakteDJ\VKontakteDJ.exe /H (file missing)

 

Перезагрузите компьютер.

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2820870761-2138295268-951225753-1002\...\MountPoints2: {38f5d44e-79e3-11e8-bdda-0028f816cf32} - "E:\HiSuiteDownLoader.exe" 
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Елена\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {491BAE36-7D52-4AC1-8C46-9A7DAD64CB6F} - no filepath
    CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
    CHR DefaultSearchKeyword: Default -> cdn
    C:\Users\Елена\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
    NetShield Kit 1.3.28.0 (HKLM-x32\...\{3c2651cd-428f-4c80-95e1-46e6d8a93596}) (Version: 1.3.28.0 - Sigma Software) Hidden
    FirewallRules: [{730332F9-460A-4336-97A8-377AF2EA7611}] => (Allow) LPort=5357
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

28 минут назад, wacian сказал:

NetShield Kit 1.3.28.0 не отображается в списке программ

Уже должен появиться, удалите его там.

Ссылка на сообщение
Поделиться на другие сайты

Соберите свежий CollectionLog Автологером.

 

Дополнительно:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на сообщение
Поделиться на другие сайты

Готово. Не хочет удаляться(

троян.jpg

CollectionLog-2021.02.11-18.34.zip DESKTOP-JTFCG43_2021-02-11_18-40-09_v4.11.3.7z

 

Касперский находит вирус и удаляет каждый раз после перезагрузки компьютера

 

каспер.jpg

Ссылка на сообщение
Поделиться на другие сайты

Упакуйте папку с содержимым (где антивирус находит вредоносное ПО) и в зависимости от размера сюда или на файлообменник с паролем virus. Возможно придется приостановить защиту антивируса дабы он не удалял объекты, чтоб можно было их сохранить.

Ссылка на сообщение
Поделиться на другие сайты
13 часов назад, akoK сказал:

Упакуйте папку с содержимым (где антивирус находит вредоносное ПО) и в зависимости от размера сюда или на файлообменник с паролем virus. Возможно придется приостановить защиту антивируса дабы он не удалял объекты, чтоб можно было их сохранить.

Приостановила защиту, упаковала

Tasks.rar

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Folder: C:\ProgramData\Flock
    2021-02-10 15:35 - 2020-11-06 13:10 - 000000000 ____D C:\ProgramData\Flock
    Zip: c:\FRST\Quarantine\
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  • На рабочем столе появится архив Date_Time.zip (Дата_Время), его тоже прикрепите.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Elly
      Друзья!
       
      Наш мир цифровых технологий многогранен. Одна из граней этого мира включает в себя противоборство вредоносного и антивирусного программного обеспечения. Немаловажный вклад в эту борьбу вносит антивирусное программное обеспечение "Лаборатории Касперского". Повышение осведомлённости пользователей о новейших угрозах в цифровом мире позволит более эффективно противостоять атакам злоумышленников и поможет быть готовыми к защите своего цифрового мира. Поэтому сегодня мы хотели бы вам предложить поучаствовать в викторине по продукту "Kaspersky Security Pulse"* для Android.
      Формат этой викторины предельно простой. Вам будет задано 8 вопросов. Ответы на вопросы вы можете найти при непосредственной установке и эксплуатации продукта.
       
      НАГРАЖДЕНИЕ
      Для новичков, по традиции, у нас наиболее лояльные условия.
      Для верно ответивших на все вопросы викторины пользователей-новичков, зарегистрировавшихся в 2021 году, полагается 300 баллов.
      Для новичков форума, совершивших одну ошибку — 150 баллов.
      Для верно ответивших на все вопросы викторины остальных участников (с датой регистрации до 2021 года), приз — 150 баллов.

      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 21:00 9 марта 2021 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины**.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @oit (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины. При ответе на вопросы викторины настоятельно рекомендуется не использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса. 
       
      Любые вопросы, связанные с викториной, в том числе и по начислению баллов, принимаются в течение 30 дней с момента подведения её итогов. Викторина является собственностью фан-клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации фан-клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
       
      -----
      *страница загрузки приложения - Kaspersky Security Pulse.
      **для оформления заказа и отправки в ваш адрес посылки, необходимо сделать заказ на 2000 баллов. Подробнее здесь.
    • От KL FC Bot
      На экране смартфона всплывает уведомление: «Мы обнаружили необычную попытку входа из Рио-де-Жанейро, Бразилия». Первая реакция — паника, особенно если вы живете, скажем, во Владивостоке. Что это может быть? Сбой в системе? Или кто-то с другого конца света действительно покушается на ваш аккаунт?
      Паниковать в такой ситуации никак нельзя — этим вы только сыграете на руку взломщикам. Чтобы вы могли сохранить спокойствие и пережить этот инцидент с минимальными потерями, вооружим вас знаниями: рассказываем, в чем может быть дело и как действовать.
      Что могло произойти
      Для начала разберемся, как чужак вообще мог получить доступ к вашему аккаунту. Тут есть несколько вариантов.
      Утечка данных и атака методом подстановки
      Могла произойти утечка со стороннего сайта, где вы зарегистрированы. Заполучив список логинов, адресов e-mail и паролей, мошенники используют их для атаки методом подстановки, то есть пробуют вводить украденные учетные данные на множестве сайтов. К сожалению, многие люди задают одинаковые пароли для защиты своих аккаунтов в разных сервисах — на это и рассчитывают преступники.
      Альтернативный вариант — учетные данные Facebook или Instagram могли утечь из того приложения, которому вы их доверили. Например, в июне прошлого года в сеть утекли тысячи паролей от аккаунтов Instagram, владельцы которых использовали сервис Social Captain для накрутки лайков и подписчиков. Оказалось, он не шифровал данные клиентов, и доступ к ним мог получить кто угодно. Разумно предположить, что многие пользователи сервиса с тех пор столкнулись с попытками взлома.
       
      View the full article
    • От KL FC Bot
      О том, что Facebook собирает данные о вас, вы наверняка знаете. Причем информацию для вашего досье компания получает не только с вашей страницы в социальной сети, но и от множества сайтов и приложений, которые на первый взгляд вообще никак с Facebook не связаны. И если решение о том, выкладывать что-то в Facebook или нет, вы принимаете сами, то сторонние сервисы, как правило, даже не говорят вам, кому и какие данные они передают.
      Действия вне Facebook
      Не так давно среди настроек Facebook появился важный инструмент, позволяющий вам просматривать информацию, которую компания получила от третьих лиц, и управлять ей. Называется он «Действия вне Facebook». Чтобы его найти:
      Нажмите на треугольник (в веб-версии) или значок меню (в мобильном приложении) в правом верхнем углу экрана. Выберите Настройки и конфиденциальность. Откройте Настройки. Перейдите в раздел Ваша информация на Facebook. Нажмите Действия вне Facebook. Конечно, просто взять и запретить сбор данных не получится. Но покопавшись в «Действиях вне Facebook», вы сможете узнать, кто и что рассказывает о вас соцсети, и отвязать от своего профиля лишнюю информацию, а это уже немало.
       
      View the full article
    • От KL FC Bot
      В нашем блоге есть тысяча и одна статья про то, как защититься от той или иной заразы. Но бывает и так, что защититься не получается, и зараза просачивается внутрь периметра. Некоторые в этот момент начинают паниковать — а надо, напротив, сохранять трезвый рассудок и действовать максимально быстро и осознанно. Собственно, ваши действия определят, станет ли этот инцидент гигантской проблемой для компании или еще одной успешно решенной задачей. Давайте выясним, что и как делать, на примере заражения шифровальщиком.
      Часть первая: ищем и изолируем
      Итак, зловред проник в вашу сеть, и вы об этом уже знаете. Но он может быть далеко не на одной машине и даже не в одном офисе. Так что первым делом ищите зараженные компьютеры и сегменты сети в инфраструктуре предприятия и изолируйте их от остальной сети, чтобы зловред не зацепил другие.
      Как искать? Если машин мало, то посмотрите в логи антивирусов, в EDR и файрволы. Как вариант — буквально пройдитесь от машины к машине ногами и проверьте, как там дела. Если компьютеров много, то проще и удобнее анализировать события и логи в SIEM-системе. Походить потом все равно придется, но лучше сначала получить общее представление.
      При этом не стоит забывать, что в пылу сражения с шифровальщиком важно не уничтожить улики, иначе потом будет сложно отследить, откуда он взялся, и понять, где искать другие инструменты группировки, которая атаковала ваши компьютеры. В общем, берегите логи и прочие следы зловредов на компьютерах, они вам еще пригодятся.
      После того как вы изолировали зараженные машины от сети, лучше всего снять с них образы дисков и больше не трогать до окончания расследования. Если простой компьютеров невозможен, все равно сделайте образы и сохраните дамп памяти — он тоже может пригодиться в расследовании. Также не забывайте документировать все свои действия: это нужно для того, чтобы максимально прозрачно и честно рассказывать о происходящем как сотрудникам, так и всему миру. Но об этом позже.
       
      View the full article
×
×
  • Создать...