Перейти к содержанию

[РЕШЕНО] Trojan.multi.genautoruntask.c в system memory


Рекомендуемые сообщения

Добрый день! Прошу помощи в борьбе с мелкой гадюкой. Использовал все известные мне утилиты, кроме KVRT, ничего его не видит. 

Использовал: Dr.Web ceruit, AdwCleaner, RogueKillir. Ничего не помогает. Касперский удаляет данный троян, перезагрузка, опять он тут как тут. Постаянно создается папка PuzzleMedia по пути C:\ProgramData\PuzzleMedia. В этой папке через раз обнаруживается троян с HEUR:Trojan.Win64.Miner.gen. Прошу помощи!

CollectionLog-2021.07.08-02.21.zip

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteService('Transmission');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Пофиксите в HiJackThis из папки Autologger

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{47ae8e06-781f-4495-ac1f-d5146f63bda8}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{47ae8e06-781f-4495-ac1f-d5146f63bda8}: [NameServer] = 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{59aabeea-f409-4719-8ed5-e6fc3f62cf3a}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{59aabeea-f409-4719-8ed5-e6fc3f62cf3a}: [NameServer] = 37.1.207.126
O22 - Task: Driver Booster SkipUAC (Frosty) - C:\Program Files (x86)\IObit\Driver Booster\7.0.2\DriverBooster.exe /skipuac (file missing)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Удалите старые файлы FRST.txt и Addtion.txt и сделайте новые логи Farbar

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
FirewallRules: [{027E7709-FA31-4ED4-BBF4-B17A294EFA90}] => (Allow) E:\Games\Battlefield V\bfv.exe => Нет файла
FirewallRules: [{BE1312E1-D421-41EB-A0C9-460FC6DD4B1D}] => (Allow) E:\Games\Battlefield V\bfv.exe => Нет файла
FirewallRules: [{C77592B8-A857-4406-9420-4590E0C2F16D}] => (Allow) E:\Games\Battlefield V\bfvTrial.exe => Нет файла
FirewallRules: [{1CB6F712-1431-4114-BBC7-17998EE2AD17}] => (Allow) E:\Games\Battlefield V\bfvTrial.exe => Нет файла
FirewallRules: [{A03C9ED2-A81E-4E23-AA96-0936EEE61F2D}] => (Allow) E:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Нет файла
FirewallRules: [{483D0963-DEB6-4763-A1F8-788536EA4688}] => (Allow) E:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Нет файла
FirewallRules: [{0F8C44AE-0EC5-42A0-97CC-F5E5B1E4A100}] => (Allow) E:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{8780EAEB-3E27-44EF-ABEC-BC4CDBB6F247}] => (Allow) E:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{25D85247-5370-46E1-955F-161F6F5168A2}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => Нет файла
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2d5VVZpHKim9X_o122TlZ19s0TAmbgZza3oXJorKCHZRXETfGfY47bGSZplV5MSFQCb3eF4esMPDtDJX8iyAYiD0HM0GbGC04WCv4gOuzJk3mSB0TUm6i1QrKV4xITw4M84MHCLHpZPTMHe
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart1","hxxp://www.istartsurf.com/?type=hp&ts=1434285405&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=face&uid=ST9750420AS_5WS0LB1LXXXX5WS0LB1L","hxxp://yandex.ru/?clid=2101081","hxxp://www.istartsurf.com/?type=hp&ts=1447876072&z=048021583d92227b856d9c8g5z3z6m2b4mfw1m3qfq&from=face&uid=ST3250410AS_6RYC35V6XXXX6RYC35V6","hxxp://www.istartpageing.com/?type=hp&ts=1447937966&z=f36802772023cfaff7565e1g1z1z7matfc5metcq2z&from=cmi&uid=ST3250410AS_6RYC35V6XXXX6RYC35V6","hxxp://www.yoursites123.com/?type=hp&ts=1449665494&z=78d872718bfa756bd502a87gdz9zftbq7qbw8z0t5g&from=ient07021&uid=ST3250410AS_6RYC35V6XXXX6RYC35V6","hxxp://mail.ru/cnt/10445?gp=834410","hxxp://googla.com.ua/q","hxxps://find-it.pro/?utm_source=distr_m","hxxps://www.google.com/"
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\Frosty\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
2021-07-08 01:56 - 2021-07-08 01:56 - 000000000 ____D C:\ProgramData\PuzzleMedia
2021-06-26 16:41 - 2021-07-07 18:56 - 000000000 ____D C:\ProgramData\CSGOCalc
2021-06-26 16:40 - 2021-07-08 13:28 - 000000000 ____D C:\Program Files (x86)\Transmission
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 08.07.2021 21:34:05
Path starting: C:\Users\Frosty\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Frosty
VersionXML: 8.90is-03.07.2021
___________________________________________________________________________

Windows 10(6.3.19041) (x64) Professional Версия: 2004 Lang: Russian(0419)
Дата установки ОС: 11.11.2020 00:23:17
Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
Статус лицензии: Office 19, Office19ProPlus2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 253202 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: ? ФС: [NTFS] Емкость: [111.3 Гб] Занято: [70.6 Гб] Свободно: [40.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.789.19041.0
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
-------------------------- [ SecurityUtilities ] --------------------------
RogueKiller version 15.0.6.0 v.15.0.6.0
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.11001.20074 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.11001.20074 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.20.4.14 v.3.20.4.14 Внимание! Скачать обновления
Microsoft OneDrive v.21.109.0530.0001
Notepad++ (32-bit x86) v.7.8.9 Внимание! Скачать обновления
Steam v.2.10.91.91
Epic Games Launcher v.1.1.267.0
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2123.8
Telegram Desktop version 2.8.4 v.2.8.4
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46010 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 231 v.8.0.2310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u291-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.91.0.4472.124
Microsoft Edge v.91.0.864.64
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0\MsMpEng.exe v.4.18.2105.5
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2105.5-0\NisSrv.exe v.4.18.2105.5
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
uBlock Pro - #1 Adblocker 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------
 

Ссылка на сообщение
Поделиться на другие сайты

Установите обновления указанных программ, обратите внимание на секцию UnwantedApps.

 

Лечение будем считать оконченным.

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Yonavi
      От Yonavi
      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощь по продуктам.
    • Xsiw
      От Xsiw
      Здравствуйте
      При проверке компьютера, KVRT ругается на mem:trojan.win64.generic.mem. Расположение: системная память. Лечение с перезагрузкой, либо без нее, вирус удаляет, но через какое то время всё возвращается, и при новой проверке снова ругается на этот же троян.
      CollectionLog-2021.11.26-11.49.zip
    • vetal747
      От vetal747
      Добрый день!
      Kaspersky регулярно обнаруживает вредоносный обьект, полная проверка не помогает:
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: HEUR:Trojan.Script.Generic
      Объект: http://pgold.pro/code\1054.js
      Причина: Экспертный анализ
       
      CollectionLog-2021.11.26-09.55.zip
    • Lesikma
      От Lesikma
      Доброго времени суток!
       
      Скачивала игры с непроверенных источников и поймала букет вирусов. Перечитала предыдущие темы, вижу что набор стандартный)
      Вирусы находятся в списке разрешенных угроз и конечно же - не удаляются оттуда. Стоит доктор веб и периодически ругается на них.
      Хотелось бы распрощаться с этими вирусами, буду благодарна за помощь 🙏


      CollectionLog-2021.11.25-20.16.zip
    • Larsvontrier
      От Larsvontrier
      Как я понял, это уже классика целого раздела
      Скачал файл, словил вирус, из антивирусов стоял только защитник винды 
      Журнал защиты стал чист, после скачивания dr.web (до этого висел троян)  
       

      FRST.txt Addition.txt
×
×
  • Создать...