Показано с 1 по 10 из 10.

Машина ругается на trojan.lockedfolder.a и trojan.BAT.starter (заявка № 228839)

  1. #1
    Junior Member Репутация
    Регистрация
    08.10.2024
    Сообщений
    14
    Вес репутации
    4

    Thumbs up Машина ругается на trojan.lockedfolder.a и trojan.BAT.starter

    Была приобретена б/у машина. Поставил каспера free. Ругался на KMSauto. Судя по всему, либо офис поддерживает, либо ось. Покупалось на маркет-плейсе, соответственно выхода на продавца нет. Присутствует программа WUFUC - понятно для чего.
    Просканировал kvrt, частично обнаружил вирусы - прервал проверку.

    Обнаружено:
    1) Trojan.Multi.LockedFolder.a в System Memory
    2) HEUR:Trojan.BAT.Starter в C:\ProgramData\Microsoft\DRM\BSyRnZ\FilesystemR.ba t
    3) HEUR:HackTool.Win32.KMSAuto.gen в C:\Windows\AAct_Tools\AAct.exe

    Предположительно, конечно, что батник запускает экзешник, но не логично-не логично
    Логи AutoLogger отправляю через файлообменник, ибо память в управлении вложений закончилась. Какие способы её разширить?
    https://dropmefiles.com/pDXLp
    Изображения Изображения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,289
    Вес репутации
    384
    Уважаемый(ая) DjDenos, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,575
    Вес репутации
    1086
    Надо было смелее удалять этот bat файл, он в комплекте с майнером.

    Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
    Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    08.10.2024
    Сообщений
    14
    Вес репутации
    4
    Приветствую, спасибо. Как процедуру проведу, скину логи. Просканировал kvrt и попробовал вылечить. Вроде, справился. SystemMemory - вылечено. Батник удалил и с ним еще папку в каталоге system32\...

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,575
    Вес репутации
    1086
    Там ещё много что AV block remove почистит, а после него в логах FRST посмотрим хвосты.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    08.10.2024
    Сообщений
    14
    Вес репутации
    4
    Да, действительно avbr поудалял кучу файлов. Логи https://dropmefiles.com/kLmVv

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,575
    Вес репутации
    1086
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Task: {DDB7BD4B-6DF8-4063-AB43-EC0296DEEC05} - \Microsoft\Windows\FilesystemR\RecoveryHosts -> Нет файла <==== ВНИМАНИЕ
    Task: {5C893C41-35F7-4707-B1E6-EF96CEB6F561} - System32\Tasks\HardDiskSentinel\Hard Disk Sentinel_user => D:\проверка\Hard Disk Sentinel\HDSentinel.exe  /AUTORUN (Нет файла)
    S3 SnInstSvc; "C:\Users\user\AppData\Local\Temp\{79FE59F0-4FF2-4E65-99DD-55DE532BA942}\SnInstSvc.exe" [X] <==== ВНИМАНИЕ
    FirewallRules: [TCP Query User{8D60AB8D-91C3-4416-93FE-E0098E7B9CD8}D:\sdi_rus\sdi_x64_r2305.exe] => (Allow) D:\sdi_rus\sdi_x64_r2305.exe => Нет файла
    FirewallRules: [UDP Query User{6302B9BF-7970-4111-B5E5-45B7EC6CA441}D:\sdi_rus\sdi_x64_r2305.exe] => (Allow) D:\sdi_rus\sdi_x64_r2305.exe => Нет файла
    FirewallRules: [{65F7CD27-46D3-4368-BE3F-86671FF5553B}] => (Allow) C:\Games\Knights of Honor\KoH.exe => Нет файла
    FirewallRules: [{48BA48AB-CD1E-4811-BE97-B9FD845DE6EB}] => (Allow) C:\Games\Knights of Honor\KoH.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    StartBatch:
    del /s /q C:\Windows\Temp\*.* >nul
    del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
    del /s /q C:\Windows\Minidump\*.dmp >nul
    ipconfig /flushdns
    sfc /scannow
    Endbatch:
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    08.10.2024
    Сообщений
    14
    Вес репутации
    4

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,575
    Вес репутации
    1086
    Порядок.
    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
    Компьютер перезагрузится.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    08.10.2024
    Сообщений
    14
    Вес репутации
    4
    Понял Вас. Спасибо за помощь. Тему можно закрывать.

  • Уважаемый(ая) DjDenos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 21.12.2020, 16:53
    2. Ответов: 23
      Последнее сообщение: 23.01.2016, 00:48
    3. Ответов: 20
      Последнее сообщение: 14.01.2016, 23:16
    4. Ответов: 19
      Последнее сообщение: 26.03.2015, 20:28
    5. Ответов: 8
      Последнее сообщение: 08.03.2015, 10:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00942 seconds with 19 queries