Машина ругается на trojan.lockedfolder.a и trojan.BAT.starter
Была приобретена б/у машина. Поставил каспера free. Ругался на KMSauto. Судя по всему, либо офис поддерживает, либо ось. Покупалось на маркет-плейсе, соответственно выхода на продавца нет. Присутствует программа WUFUC - понятно для чего.
Просканировал kvrt, частично обнаружил вирусы - прервал проверку.
Обнаружено:
1) Trojan.Multi.LockedFolder.a в System Memory
2) HEUR:Trojan.BAT.Starter в C:\ProgramData\Microsoft\DRM\BSyRnZ\FilesystemR.ba t
3) HEUR:HackTool.Win32.KMSAuto.gen в C:\Windows\AAct_Tools\AAct.exe
Предположительно, конечно, что батник запускает экзешник, но не логично-не логично
Логи AutoLogger отправляю через файлообменник, ибо память в управлении вложений закончилась. Какие способы её разширить? https://dropmefiles.com/pDXLp
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) DjDenos, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Надо было смелее удалять этот bat файл, он в комплекте с майнером.
Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Приветствую, спасибо. Как процедуру проведу, скину логи. Просканировал kvrt и попробовал вылечить. Вроде, справился. SystemMemory - вылечено. Батник удалил и с ним еще папку в каталоге system32\...
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
CreateRestorePoint:
Task: {DDB7BD4B-6DF8-4063-AB43-EC0296DEEC05} - \Microsoft\Windows\FilesystemR\RecoveryHosts -> Нет файла <==== ВНИМАНИЕ
Task: {5C893C41-35F7-4707-B1E6-EF96CEB6F561} - System32\Tasks\HardDiskSentinel\Hard Disk Sentinel_user => D:\проверка\Hard Disk Sentinel\HDSentinel.exe /AUTORUN (Нет файла)
S3 SnInstSvc; "C:\Users\user\AppData\Local\Temp\{79FE59F0-4FF2-4E65-99DD-55DE532BA942}\SnInstSvc.exe" [X] <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{8D60AB8D-91C3-4416-93FE-E0098E7B9CD8}D:\sdi_rus\sdi_x64_r2305.exe] => (Allow) D:\sdi_rus\sdi_x64_r2305.exe => Нет файла
FirewallRules: [UDP Query User{6302B9BF-7970-4111-B5E5-45B7EC6CA441}D:\sdi_rus\sdi_x64_r2305.exe] => (Allow) D:\sdi_rus\sdi_x64_r2305.exe => Нет файла
FirewallRules: [{65F7CD27-46D3-4368-BE3F-86671FF5553B}] => (Allow) C:\Games\Knights of Honor\KoH.exe => Нет файла
FirewallRules: [{48BA48AB-CD1E-4811-BE97-B9FD845DE6EB}] => (Allow) C:\Games\Knights of Honor\KoH.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
ipconfig /flushdns
sfc /scannow
Endbatch:
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Порядок.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Машина ругается на trojan.lockedfolder.a и trojan.BAT.starter
