Перейти к содержанию

MEM:Trojan.Win32.Agent.gen не удаляется


Рекомендуемые сообщения

Добрый день!

В браузерах (хром, опера) автоматически устанавливается приложение wtrustalexa.

Запускаю браузер, через минуту или около того, браузер сам закрывается и открывается уже с запущенным приложением wtrustalexa

запустил kvrt2015, он нашел MEM:Trojan.Win32.Agent.gen. 

После лечения, все равно обнаруживается при сканировании.

Помогите пожалуйста удалить

 

 

 

CollectionLog-2021.07.15-15.07.zip

Кстати, это приложение устанавливается из скрытой папки C:\ProgramData\Qvtfrwi

Если папку удалить, то после перезапуска винды она появляется (
Добавил эту папку в архив и прикрепляю к этому сообщению, может пригодится?

 

Изменено пользователем Sandor
Убрал подозрительное вложение
Ссылка на сообщение
Поделиться на другие сайты

Пролечил, TDSSkiller нашел один файл с подозрительной цифровой подписью, удалил его, больше ничего не находит.

3 лога в приложении.

Но при запуске браузера, wtrustalexa все равно появляется.... ((( скрин также в приложении.

 

01.jpg

TDSSKiller.3.1.0.28_17.07.2021_10.01.16_log.txt TDSSKiller.3.1.0.28_17.07.2021_10.03.58_log.txt TDSSKiller.3.1.0.28_17.07.2021_10.12.18_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Нет, не включена

 

01.jpg

Оперу снес полностью, скачиваю заново, устанавливаю, запускаю, потом она сама закрывается и перезапускается уже с установленым расширением ((
 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать?

Start::
CreateRestorePoint:
Folder: C:\ProgramData\Qvtfrwi
Folder: C:\Windows\rss
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1332062461-2661867840-2270697928-1000\...\MountPoints2: {0ea68eac-854b-11e6-a76b-448a5b6a4a08} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1332062461-2661867840-2270697928-1000\...\MountPoints2: {18612d21-738e-11e8-8260-448a5b6a4a08} - E:\LaunchU3.exe -a
HKU\S-1-5-21-1332062461-2661867840-2270697928-1000\...\MountPoints2: {1a4a18de-95db-11eb-81b3-448a5b6a4a08} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1332062461-2661867840-2270697928-1000\...\MountPoints2: {1a8c332b-1d8e-11e6-a115-448a5b6a4a08} - F:\Setup.exe
HKU\S-1-5-21-1332062461-2661867840-2270697928-1000\...\MountPoints2: {1f7789f4-f46c-11e8-8227-448a5b6a4a08} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1332062461-2661867840-2270697928-1000\...\MountPoints2: {43780e24-9a5f-11e5-89cc-448a5b6a4a08} - H:\.\checkSetup.exe
HKU\S-1-5-21-1332062461-2661867840-2270697928-1000\...\MountPoints2: {8d9bd9dd-4530-11e8-a9d1-448a5b6a4a08} - E:\setup.exe
HKU\S-1-5-21-1332062461-2661867840-2270697928-1000\...\MountPoints2: {a08bfda2-d1db-11e8-8f8a-448a5b6a4a08} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1332062461-2661867840-2270697928-1000\...\MountPoints2: {c74de9ff-940a-11e5-9e4d-448a5b6a4a08} - F:\.\checkSetup.exe
HKU\S-1-5-21-1332062461-2661867840-2270697928-1000\...\MountPoints2: {dc7b76ae-a2f8-11e5-b6fe-448a5b6a4a08} - G:\Autoplay.exe -auto
HKU\S-1-5-21-1332062461-2661867840-2270697928-1000\...\MountPoints2: {e42ca4a0-9aad-11ea-9503-448a5b6a4a08} - E:\Startme.exe
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1332062461-2661867840-2270697928-1000\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {40FB4688-3202-402F-9B1E-952C72FBB88A} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\SystemInfoTool => C:\Users\EliTTT\AppData\Roaming\\sysinfotool\\sitool.exe <==== ВНИМАНИЕ
S4 AppServiceb; C:\Windows\system32\3W963QY001.tmp [X] <==== ВНИМАНИЕ
2021-07-15 16:52 - 2021-07-16 16:55 - 000000000 ___HD C:\ProgramData\Qvtfrwi
2021-07-15 16:00 - 2021-07-15 16:00 - 000031284 _____ C:\ProgramData\Qvtfrwi.rar
S4 WinmonProcessMonitor; \??\C:\Windows\System32\drivers\WinmonProcessMonitor.sys [X] <==== ВНИМАНИЕ
ShellIconOverlayIdentifiers: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} =>  -> Нет файла
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} =>  -> Нет файла
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\06032375.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\23100135.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\24318627.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\66293294.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\89190559.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\90ADCBDF.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\06032375.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\23100135.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\24318627.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\66293294.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\89190559.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\90ADCBDF.sys => ""="Driver"
FirewallRules: [TCP Query User{293A3841-F89F-4FCE-A810-98D6CDCA8C49}F:\program files\quik-junior\winros.exe] => (Allow) F:\program files\quik-junior\winros.exe => Нет файла
FirewallRules: [UDP Query User{AF062403-A001-49EB-B9D0-4B829834CF9E}F:\program files\quik-junior\winros.exe] => (Allow) F:\program files\quik-junior\winros.exe => Нет файла
FirewallRules: [{8C23022B-1518-4929-A954-F0E4343D52E9}] => (Allow) F:\Games\World_of_Tanks\WoTLauncher.exe => Нет файла
FirewallRules: [{D897D06A-0FA2-45CE-BB1C-F709A4FAE78E}] => (Allow) F:\Games\World_of_Tanks\WoTLauncher.exe => Нет файла
FirewallRules: [{6BEF74A8-1578-4581-BF13-4DED0BBC5E60}] => (Allow) F:\Games\World_of_Tanks\worldoftanks.exe => Нет файла
FirewallRules: [{9BD3E5FB-168E-414D-A654-3CC7A0A287D7}] => (Allow) F:\Games\World_of_Tanks\worldoftanks.exe => Нет файла
FirewallRules: [TCP Query User{D0A18C57-F933-4BC4-BBB7-9C1D7E6C2474}F:\games\pacificpoker\bin\poker.exe] => (Allow) F:\games\pacificpoker\bin\poker.exe => Нет файла
FirewallRules: [UDP Query User{5DEEBDE1-B905-46BB-B051-9146FCB7C8EC}F:\games\pacificpoker\bin\poker.exe] => (Allow) F:\games\pacificpoker\bin\poker.exe => Нет файла
FirewallRules: [TCP Query User{D9804368-251F-4DFE-A468-2BD4778042DD}F:\games\patrician iv\patrician4.exe] => (Allow) F:\games\patrician iv\patrician4.exe => Нет файла
FirewallRules: [UDP Query User{0534EED8-FC84-4B5D-AA41-DEB1C40121B7}F:\games\patrician iv\patrician4.exe] => (Allow) F:\games\patrician iv\patrician4.exe => Нет файла
FirewallRules: [{7BD36657-FA00-4D05-9FB3-78412C3C103D}] => (Allow) F:\Program Files\Steam\Steam.exe => Нет файла
FirewallRules: [{1200BA32-5B7E-4FF3-BB93-9B0BF317DF8A}] => (Allow) F:\Program Files\Steam\Steam.exe => Нет файла
FirewallRules: [TCP Query User{7D391EDD-8F60-436E-BD85-62356FED306D}F:\program files\steam\steamapps\common\elite dangerous\products\elite-dangerous-64\elitedangerous64.exe] => (Allow) F:\program files\steam\steamapps\common\elite dangerous\products\elite-dangerous-64\elitedangerous64.exe => Нет файла
FirewallRules: [UDP Query User{A2C02C08-751E-499C-9951-36517650B469}F:\program files\steam\steamapps\common\elite dangerous\products\elite-dangerous-64\elitedangerous64.exe] => (Allow) F:\program files\steam\steamapps\common\elite dangerous\products\elite-dangerous-64\elitedangerous64.exe => Нет файла
FirewallRules: [TCP Query User{12F75EFC-4B5F-48DA-B13F-414C07D4D9F8}F:\program files\steam\steamapps\common\elite dangerous\products\elite-dangerous-64\elitedangerous64.exe] => (Allow) F:\program files\steam\steamapps\common\elite dangerous\products\elite-dangerous-64\elitedangerous64.exe => Нет файла
FirewallRules: [UDP Query User{0CE25B66-DE79-4223-98B9-D2B9CC956649}F:\program files\steam\steamapps\common\elite dangerous\products\elite-dangerous-64\elitedangerous64.exe] => (Allow) F:\program files\steam\steamapps\common\elite dangerous\products\elite-dangerous-64\elitedangerous64.exe => Нет файла
FirewallRules: [TCP Query User{73B16385-3012-4318-89E5-1D593F244CAD}F:\program files\steam\steamapps\common\elite dangerous\products\forc-fdev-d-1010\elitedangerous32.exe] => (Allow) F:\program files\steam\steamapps\common\elite dangerous\products\forc-fdev-d-1010\elitedangerous32.exe => Нет файла
FirewallRules: [UDP Query User{011A7E7F-961E-49D0-9CB8-C9CD64667EF9}F:\program files\steam\steamapps\common\elite dangerous\products\forc-fdev-d-1010\elitedangerous32.exe] => (Allow) F:\program files\steam\steamapps\common\elite dangerous\products\forc-fdev-d-1010\elitedangerous32.exe => Нет файла
FirewallRules: [{B13FB600-42F4-4E94-A978-0A867CB4C123}] => (Allow) F:\Program Files\Steam\steamapps\common\Cossacks 3\cossacks.exe => Нет файла
FirewallRules: [{D3B68D01-5280-43AB-AD47-84174EF779AF}] => (Allow) F:\Program Files\Steam\steamapps\common\Cossacks 3\cossacks.exe => Нет файла
FirewallRules: [{27ED1F7A-E813-4545-B961-E540CB0B5CCD}] => (Allow) F:\Program Files\Steam\steamapps\common\Cossacks 3\config.exe => Нет файла
FirewallRules: [{8902FDFA-2D55-485E-B0FC-EB7DE20936B0}] => (Allow) F:\Program Files\Steam\steamapps\common\Cossacks 3\config.exe => Нет файла
FirewallRules: [{AB12B635-2AAA-441F-B642-B4CD3DC93FA8}] => (Allow) F:\Program Files\Steam\steamapps\common\Cossacks 3\editor.exe => Нет файла
FirewallRules: [{7402903C-E070-46A6-8642-39B750D5137C}] => (Allow) F:\Program Files\Steam\steamapps\common\Cossacks 3\editor.exe => Нет файла
FirewallRules: [{EC418941-2960-40DA-BF30-558820CD0F00}] => (Allow) F:\Program Files\Steam\steamapps\common\Elite Dangerous\EDLaunch.exe => Нет файла
FirewallRules: [{453B7F41-427E-4788-A2FA-3D65EB66B277}] => (Allow) F:\Program Files\Steam\steamapps\common\Elite Dangerous\EDLaunch.exe => Нет файла
FirewallRules: [{5A11BBBD-B0B6-41B1-B43A-3980E6D14B9E}] => (Allow) F:\Program Files\Steam\steamapps\common\Cossacks 3\modman.exe => Нет файла
FirewallRules: [{59F942EE-5581-46EF-9A67-76865CD6DA82}] => (Allow) F:\Program Files\Steam\steamapps\common\Cossacks 3\modman.exe => Нет файла
FirewallRules: [{293B0BCD-43A9-4744-854F-C880C92F50A6}] => (Allow) F:\Program Files\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{1875C1A8-9270-4845-8CA8-05ADC44C18F4}] => (Allow) F:\Program Files\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{2881290E-06C5-4E62-8D6C-EA4D6DB2416E}] => (Allow) F:\Program Files\Steam\steamapps\common\IL-2 Sturmovik Battle of Stalingrad\bin\game\Il-2.exe => Нет файла
FirewallRules: [{6B31D23B-9F02-461A-9CBD-A5AAFDC08B0D}] => (Allow) F:\Program Files\Steam\steamapps\common\IL-2 Sturmovik Battle of Stalingrad\bin\game\Il-2.exe => Нет файла
FirewallRules: [{ABFA80DE-711C-4CCF-8757-7817867F6A51}] => (Allow) E:\Program Files\Steam\Steam.exe => Нет файла
FirewallRules: [{0A3DF7B7-BF67-4494-9DD6-1D2BB9047A21}] => (Allow) E:\Program Files\Steam\Steam.exe => Нет файла
FirewallRules: [{475D6C38-ACC4-4D23-9FF1-4F2E0588D70C}] => (Allow) E:\Program Files\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{D77DF818-BC21-4E98-8B28-02EADFC9E06B}] => (Allow) E:\Program Files\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Fixlog.txt

после перезагрузки специально сразу зашел в папку C:\ProgramData, было все чисто.

Зашел сюда на форум, успел прикрепить fixlog и тут же браузер закрылся и открылся.... wtrustalexa в расширениях, а в C:\ProgramData скрытая папка Qvtfrwi, откуда и установилось расширение... (((((((((((

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Попробуйте переустановить браузер с предварительной полной зачисткой всех его следов на компьютере

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...