Tnega - троян, периодически появляется.

**ifranci** · 21.09.2021, 12:26

Здравствуйте, иногда вижу вот такие сообщения:

Лог во вложении.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 21.09.2021, 12:29

Уважаемый(ая) ifranci, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 21.09.2021, 13:43

Самого интересного и нет: в каких файлах находит троян?

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\user\Desktop\Desktop\Incogniton.lnk"          -> ["C:\Users\user\AppData\Local\Programs\incogniton\incogniton.exe"]
>>>  "C:\Users\user\Desktop\Desktop\QuickTextPaste_x64 — ярлык.lnk"    -> ["C:\Users\user\Downloads\QuickTextPaste_x64\QuickTextPaste_x64.exe"]
>>>  "C:\Users\user\Desktop\Desktop\Visual Studio Code.lnk"  -> ["C:\Users\user\AppData\Local\Programs\Microsoft VS Code\Code.exe"]
- "C:\Users\user\Desktop\Desktop\Поиск в интернете.URL"  ->           hxxp://proppellerads.ru/?p101

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**ifranci** · 22.09.2021, 07:34

Screenshot_18.png
Screenshot_12.png

Вот на этот файл ругался, его удалял, а он иногда снова появлялся.

Инструкции выполнил, логи прикрепляю.

**Vvvyg** · 22.09.2021, 07:58

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
Systemrestore: on
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3328822903-112695825-2638313144-1001\...\MountPoints2: {b1c5582a-ceea-11eb-ad70-240a64920bde} - "D:\AutoRun.exe" 
HKU\S-1-5-21-3328822903-112695825-2638313144-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR DefaultSearchKeyword: Profile 1 -> mcafee
S1 ovlnkjgz; C:\Windows\system32\drivers\ovlnkjgz.sys [50416 2021-09-21] (Microsoft Windows -> Microsoft Corporation)
S1 ttvyotao; C:\Windows\system32\drivers\ttvyotao.sys [50416 2021-09-21] (Microsoft Windows -> Microsoft Corporation)
File: C:\Windows\system32\drivers\ovlnkjgz.sys
File: C:\Windows\system32\drivers\ttvyotao.sys
C:\Windows\system32\drivers\ovlnkjgz.sys
C:\Windows\system32\drivers\ttvyotao.sys
HKLM\SYSTEM\CurrentControlSet\Services\4580FE3B82218B14 <==== ВНИМАНИЕ (Rootkit!)
2021-09-21 11:44 - 2021-09-21 11:44 - 000012748 _____ C:\ProgramData\mijprvzl.ern
2021-09-19 22:15 - 2021-09-19 22:15 - 001235676 _____ C:\Windows\Minidump\091921-47171-01.dmp
2021-09-16 16:27 - 2021-09-16 16:27 - 001305196 _____ C:\Windows\Minidump\091621-52234-01.dmp
2021-09-15 19:20 - 2021-09-15 19:21 - 001450860 _____ C:\Windows\Minidump\091521-7609-01.dmp
2021-09-19 22:15 - 2021-06-15 13:04 - 603304832 _____ C:\Windows\MEMORY.DMP
AlternateDataStreams: C:\Windows\system32\Drivers\asullbnl.sys:changelist [316]
AlternateDataStreams: C:\Windows\system32\Drivers\ovlnkjgz.sys:changelist [316]
AlternateDataStreams: C:\Windows\system32\Drivers\ttvyotao.sys:changelist [316]
FirewallRules: [{20F573EF-1E44-4FC3-B1CA-E21F93720E40}] => (Allow) C:\Users\user\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{6DB33040-84BF-42F5-9B0F-C635F4C1E6B5}] => (Allow) C:\Users\user\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Tnega - троян, периодически появляется. (заявка № 227172)

Опции темы