win32.convagent.gen

Printable View

23.11.2021, 21:24
craftix

Вложений: 1

win32.convagent.gen

Здравствуйте, при полной проверке ПК антивирусом Kaspersky free обнаружен был VHO:Trojan-Dropper.win32.convagent.gen в папке C:\Users\User\AppData\Local\Temp\DriverHub. Так же по отчету касперского неделей ранее был обнаружен и удален тот же троян в папке C:\Program Files (x86)\DriverHub\Win32
Прошу посмотреть, не осталось ли что-то еще в системе.
23.11.2021, 21:25
Info_bot

Уважаемый(ая) [B]craftix[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
23.11.2021, 22:51
Vvvyg

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O4 - MSConfig\startupreg: YandexDisk2 [command] = C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.2.4135\YandexDisk2.exe -autostart (HKCU) (2020/12/19) (file missing)[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
23.11.2021, 23:38
craftix

Вложений: 1

Всё сделал, архив с логами во вложении.
24.11.2021, 07:49
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
Task: {9011DFFB-48E3-4C77-BD2F-3C1F403DFB41} - \KMSAutoNet -> Нет файла <==== ВНИМАНИЕ
S2 McAfee WebAdvisor; "C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe" [X]
Toolbar: HKU\S-1-5-21-2553084182-2582797478-1608126831-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} - Нет файла
Toolbar: HKU\S-1-5-21-2553084182-2582797478-1608126831-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} - Нет файла
FirewallRules: [TCP Query User{46688108-2A30-4EC4-B67D-7EF7D56FEBA6}J:\драйверы\sdi_x64_r1809.exe] => (Allow) J:\драйверы\sdi_x64_r1809.exe => Нет файла
FirewallRules: [UDP Query User{AB301EF0-BE17-4D68-BF82-8342B284957A}J:\драйверы\sdi_x64_r1809.exe] => (Allow) J:\драйверы\sdi_x64_r1809.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
24.11.2021, 11:09
craftix

Вложений: 1

Я так понял, что FRST берет данные для исправления из буфера обмена? Так как я сделал как было написано и никуда этот код не вставлял. Лог во вложении.
24.11.2021, 13:13
Vvvyg

Всё так.
Почистили мусор, следов трояна не обнаружено.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
24.11.2021, 13:54
craftix

Спасибо, Вадим.

P.S. Отчетов киберхелпера больше нет, да и на первый взгляд выглядит так, будто осталась только пара хелперов. О новых студентах тоже не видно ничего. Прям какой-то упадок. Печально.
24.11.2021, 15:12
Vvvyg

Киберхелпер, скорее всего, восстановлению уже не подлежит.
Услуга лечения троянов стала менее востребованной, отчасти, возможно, потому, что многим проще переустановить систему, на современных компьютерах с SSD это занимает от получаса.
Как-то так...