Перейти к содержанию

[РЕШЕНО] Проверка после лечения активного заражения.


Рекомендуемые сообщения

Антивирус обнаружил HEUR:Trojan.Win32.Generic в папке C:\Users\ROYU\AppData\Local\Temp с именем 076e6db4c.exe и предложил удалить, т.к. лечение невозможно. В процессе удаления, обнаружилось ещё Trojan.Multi.GenAutorunReg.a в системной памяти и предложилось лечение. Пока шло удаление и лечение, пропал рабочий стол, но когда компьютер перезагрузился, всё стало нормально.

После перезагрузки антивирус предложил проверить систему на наличие повреждений, ничего не обнаружилось. Потом прогнала быструю проверку - вирусов нет. В отчётах сказано, что лечение и удаление вирусов прошло успешно (их копии лежат в карантине).

В общем, вроде бы всё устранилось, но на всякий случай, нужно провериться более детально.

 

Отчёт:  CollectionLog-2021.04.07-01.12.zip

 

P.S. на всякий случай ещё почистила папку C:\Users\ROYU\AppData\Local\Temp, но уже после создания отчета.

 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
FF HKLM\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
FF HKLM-x32\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
S4 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe" [X]
FirewallRules: [{C8F32E9C-49A8-4867-BA4E-B714F53DFA77}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{4A338EB4-E9DB-4B32-B2E7-BB5E0E759D95}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{2CDF861A-8448-42EB-B8A5-9CDD919E86A7}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\wallpaper_engine\launcher.exe => Нет файла
FirewallRules: [{9BA63114-4337-4632-AB70-8F3D3845864A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\wallpaper_engine\launcher.exe => Нет файла
FirewallRules: [{AF9BEAFF-C2DC-45B4-B348-98BC36D72701}] => (Allow) D:\Программы\Сканеры и прочая защита\AOMEI Backupper\AOMEI Backupper 5.7.0\ABService.exe => Нет файла
FirewallRules: [{63BB6988-A2AD-4B64-B7A7-1740F8B087A7}] => (Allow) D:\Программы\Сканеры и прочая защита\AOMEI Backupper\AOMEI Backupper 5.7.0\ABService.exe => Нет файла
FirewallRules: [TCP Query User{01A40CF3-00ED-4286-9B9E-6747FD667ECA}C:\users\royu727\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\royu727\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{6159DF2F-2C12-483E-A668-472E3A556FCD}C:\users\royu727\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\royu727\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [{7460CC80-ADE9-401F-86DD-0FAA814AF82D}] => (Allow) C:\Program Files\Intel\STCServ\STCServ.exe => Нет файла
FirewallRules: [{8B252886-5F5C-4F02-B946-4B8DED0C273B}] => (Allow) C:\Program Files\Intel\STCServ\STCServ.exe => Нет файла
FirewallRules: [{E7373559-DBF6-4A9F-8DD3-347750C7C55A}] => (Allow) C:\Users\ROYU\Downloads\Soluto_1.3.1328.exe => Нет файла
FirewallRules: [{280E95DD-FB56-4D17-8934-53F7F536D536}] => (Allow) C:\Users\ROYU\Downloads\Soluto_1.3.1328.exe => Нет файла
FirewallRules: [{08F7F93A-5252-40ED-9DC5-14B68546FDE5}] => (Allow) C:\Users\ROYU\Downloads\solutoinstaller(1).exe => Нет файла
FirewallRules: [{59CF1D59-CC44-409B-A1FB-AB40C85B199C}] => (Allow) C:\Users\ROYU\Downloads\solutoinstaller(1).exe => Нет файла
FirewallRules: [{08F95BBE-0F47-49B3-8F87-60BA71E577A8}] => (Allow) C:\Users\ROYU\Downloads\solutoinstaller.exe => Нет файла
FirewallRules: [{AC0032FC-C1FB-44D6-9DA9-0609E3AB82CD}] => (Allow) C:\Users\ROYU\Downloads\solutoinstaller.exe => Нет файла
FirewallRules: [{03E8FEEB-2C23-4A2D-8F27-1CA0CA047080}] => (Allow) D:\Программы\Сканеры и прочая защита\AOMEI Backupper\ABService.exe => Нет файла
FirewallRules: [{85437D87-3F56-4E14-8200-D45BCC75A846}] => (Allow) D:\Программы\Сканеры и прочая защита\AOMEI Backupper\ABService.exe => Нет файла
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [146]
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [282]
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ContextMenuHandlers1: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} =>  -> Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты
Цитата

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 10.04.2021 18:13:45
Path starting: C:\Users\ROYU\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: ROYU
VersionXML: 8.66is-03.04.2021
___________________________________________________________________________

Windows 10(6.3.19042) (x64) Core Версия: 2009 Lang: Russian(0419)
Дата установки ОС: 01.06.2020 09:13:20
Статус лицензии: Windows(R), Core edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
Системный диск: С: ФС: [NTFS] Емкость: [99.4 Гб] Занято: [80.9 Гб] Свободно: [18.5 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.789.19041.0
Контроль учётных записей пользователя включен (Уровень 4)
Уведомлять о загрузке и установке обновлений
Уведомлять о загрузке и установке обновлений
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
Kaspersky Security Cloud (выключен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Security Cloud (отключен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Internet Security (выключен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Security Cloud v.21.3.10.391
Kaspersky Password Manager v.9.0.2.767
-------------------------- [ SecurityUtilities ] --------------------------
HitmanPro 3.8 v.3.8.20.314
VirusTotal Uploader 2.2
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.21.0.36 v.3.21.0.36
Microsoft Visual Studio Code (User) v.1.54.3 Внимание! Скачать обновления
Steam v.2.10.91.91
TeamViewer v.15.16.8
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Inkscape v.1.0.2--2
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.68 v.8.68
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45966 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 87.0 (x64 ru) v.87.0
Yandex v.21.2.4.165 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Brave v.89.1.22.71
Microsoft Edge v.89.0.774.75 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
HitmanPro Scheduler (HitmanProScheduler) - Служба остановлена
C:\Program Files\HitmanPro\hmpsched.exe v.3.8.20.314
Kaspersky Anti-Virus Service 21.3 (AVP21.3) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\avp.exe v.21.3.10.391
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\avpui.exe v.21.3.10.391
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\MsMpEng.exe v.4.18.2102.4
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\NisSrv.exe v.4.18.2102.4
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.10.5.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Kerish Doctor 2021 v.4.85 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
D:\Программы\Оптимизаторы системы\Kerish Doctor\KerishDoctor.exe v.4.85.0.0
----------------------------- [ End of Log ] ------------------------------

 

 

Изменено пользователем Sapfira
Ссылка на сообщение
Поделиться на другие сайты

Установите обновления указанных в логе программ, обратите внимание на программы из секции UnwantedApps, и на этом закончим.

Ссылка на сообщение
Поделиться на другие сайты

Яндекс и Вин-Рар обновила, Visual Studio Code не нужен, позже как-нибудь удалю.

В UnwantedApps всё в норме, кнопка "Яндекс" и "Алиса" вместе с Яндекс-браузером всегда ставятся, UmmyVideoDownloader и Kerish Doctor пользуюсь.

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От FdLaxe
      Несколько дней касперский пишет "Обнаружена вредоносная программа MEM:Trojan.Win32.SEPEH.gen",а через некоторое время сам перезагружает компьютер, пробовал лечить с перезагрузкой несколько раз - пишет то же самое. Архив с логами прикрепил.
      CollectionLog-2021.05.30-22.13.zip
    • От LodveGo
      Обнаружил с помощью касперского троян MEM:Trojan.Win32.SEPEH.gen. Помогите с его удалением.
      CollectionLog-2021.05.27-22.33.zip
    • От Муришна
      В нашу локальную сеть пробрались такие приколы как : 
      MEM:Trojan.Win32.EquationDrug.gen MEM:Trojan.Win32.SEPEH.gen MEM:Rootkit.Win64.EquationDrug.a и т.п.
      Удаляем через KSC 11 со всех зараженных, но после перезагрузки они возвращаются более озлобленные. 
      Помогите решить проблему. Как бороться с этой напастью?
    • От badalov971
      Всех приветствую. Скачал троян, ворующий пароли. Этот файл у меня остался на виртуальной машине для проверки.
      Вопрос в том, есть ли инструменты для дешифрования самого троянского вируса? Я хочу узнать информацию о злоумышленнике.
      Спасибо за внимание.
    • От puppy
      Поймал вирус. Вроде как и безобидный, т.к особой траты ресурсов системы я не наблюдал, просто насторожило сообщение Windows Defender. Решил покопаться. Порывшись понял, что вирус точно есть. Защитник виндовс якобы все удалил, но естественно не все так просто. Решил скачать уже знакомый и проверенный мне антивирус Касперского, но почему-то доступ был закрыт. Попробовал другие сайты и понял, что закрыт доступ на сайты почти всех антивирусов(Avast, dr.web, kaspersky, 360 и т.п). Прилагаю файл-репорт rkill. Файл hosts был скрыт. Зашел и удалил более 125 лупбэков(127.0.0.1) на разные форумы и сайты по антивирусам. Далее я зашел на сайт Касперского и скачал exe, но он просто не запускается, пол секунды загрузки и все. Тогда я скачал Dr.Web, он поставился. Сделал полный анализ системы и он нашел 27 ошибок и удалил. Но проблема не решилась. Дальше я запустил kaspersky virus removal tool. Сделал анализ, он нашел еще 3 вируса и удалил. Далее я исследовал систему с помощью него, отчет приложу. Теперь exe антивируса запускается, но пишет Неизвестная ошибка и все(составляя отчет о ошибке). Уже устал биться с вирусом, решил сюда написать.
      Я пробовал даже с помощью новой учетки зайти и там установить, та же песня.
      Кстати, когда я копался нашел, что вирусом была создана учетка john со всеми правами. Ее удалил
      Окажите посильную помощь пожалуйста!
      report.txt Rkill.txt CollectionLog-2021.04.12-11.23.zip
      Сейчас проверил, уже и отчеты об ошибке не составляет установщик Касперского...
×
×
  • Создать...