Закрыто Помогите удалить MEM:Trojan.Multi.Cform.c

Статус
В этой теме нельзя размещать новые ответы.

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Касперский обнаружил вирус, но удалить не может. Включаешь комп и через пару минут после загрузки антивирусник начинает ругаться(Обнаружено: MEM:Trojan.Multi.Cform.c Расположение: Sistem Memory) кликаешь - лечить с перезагрузкой, минут пять проверяет файлы и перезагружается. После загрузки все вроде норм и антивирусник приступает к полной проверке(самостоятельно), но примерно через 10-40 мин. окно с предупреждением об угрозе всплывает вновь, проверка при этом не прерывается, но через несколько часов тормозится на 99% (на этапе проверки системной памяти) ждал 12 часов но процесс так и не продвинулся далее 99%. Комп при этом работает так же как и раньше(во всяком случае изменений я не заметил, ну разве что замедлилось быстродействие, как и обычно при активной работе данного антивирусника)
 

Вложения

  • CollectionLog-2019.03.30-22.03.zip
    63.3 KB · Просмотры: 6
ESET Personal Firewall - удалите остатки
Tencent -сами устанавливали?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe','');
 QuarantineFile('C:\Program Files (x86)\Uncheckit\cktSvc.exe','');
 DeleteFile('C:\Program Files (x86)\Uncheckit\cktSvc.exe','64');
 DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe','64');
 DeleteSchedulerTask('{07DA3013-2AEF-468A-BE20-3F6DC2578024}');
 DeleteSchedulerTask('UncheckitTaskMN');
 DeleteSchedulerTask('WinTOOL');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.amisites.com/?type=hp&ts=1484650253&z=08a48d799b414352cdc6d67gaz8b1z6qawce8o8zeb&from=archer1028&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.nuesearch.com/search/?type=ds&ts=1473246052&z=66fa2bde8c8625f7387b00ag1z1m4c0o7z1q9edzbb&from=che0812&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX&q={searchTerms}
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command: (default) = "c:\program files\internet explorer\iexplore.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.amisites.com/?type=hp&ts=1484650253&z=08a48d799b414352cdc6d67gaz8b1z6qawce8o8zeb&from=archer1028&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://www.nuesearch.com/search/?type=ds&ts=1466501406&z=6764b3211464e341ac87fd1g3zfq0q0waeag8zae2c&from=wpm0616&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.nuesearch.com/search/?type=ds&ts=1466501406&z=6764b3211464e341ac87fd1g3zfq0q0waeag8zae2c&from=wpm0616&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.amisites.com/?type=hp&ts=1484650253&z=08a48d799b414352cdc6d67gaz8b1z6qawce8o8zeb&from=archer1028&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://www.nuesearch.com/search/?type=ds&ts=1466501406&z=6764b3211464e341ac87fd1g3zfq0q0waeag8zae2c&from=wpm0616&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.nuesearch.com/search/?type=ds&ts=1466501406&z=6764b3211464e341ac87fd1g3zfq0q0waeag8zae2c&from=wpm0616&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX&q={searchTerms}
O22 - Task: AdobeFlashPlayer-S-2-1-24-198293847112UI - C:\Users\керя\AppData\Roaming\Auslogics\adobeupd.exe (file missing)
O22 - Task: BirdsarahUpdateTaskMachineCore - C:\Program Files (x86)\Birdsarah\Update\BirdsarahUpdate.exe -c (file missing)
O22 - Task: BirdsarahUpdateTaskMachineUA - C:\Program Files (x86)\Birdsarah\Update\BirdsarahUpdate.exe -ua (file missing)
O22 - Task: Browser Updater Task(Core) - C:\Program Files (x86)\TXQQBrowser\Update\C73A30F731C62BF3031B381F747FA3B5\Update\BrowserUpdate.exe 87B20C06-6890-4CFE-B40F-004064F87F12 (file missing)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
ESET: все что смог найти - удалил. Tencent не устанавливал, и не знаю что это такое.
 

Вложения

  • FRST.txt
    31.6 KB · Просмотры: 4
  • Addition.txt
    54.4 KB · Просмотры: 1
++ нужен лог
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Заранее прошу простить мою непонятливость - не силен я в компьютерах)) Мои знания ограничиваются самообразованием, да и то по необходимости(примерно так как сейчас).
Какой лог нужен? Я прислал все что вам требовалось, или что то пропустил? Просканировал AdwCleaner он предлагает "очистить и восстановит", просто закрыть программу или как?
 

Вложения

  • AdwCleaner[S00].txt
    12.8 KB · Просмотры: 6
просто закрыть программу или как?
Все верно. Это делается, чтоб не допустить удаления легитимного ПО. Вот сейчас будем удалять

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Многое удаляется, пожалуйста, переделайте логи FRST, а то не понятно, что удалилось, а что нет.


Tencent не устанавливал, и не знаю что это такое.
Часть китайского ПО. В списке установленных программ есть программы с иероглифами?
 
В AdwCleaner, по умолчанию отмечено:"удалить ключи Tracing" и "сбросить Winsock". Как быть с ними, оставить как есть или отметить исключительно те, что указали вы, а остальные отметки снять?
 
Если я не просил, то галочки нужно снять.
 
В списке установленных программ нет программ содержащих в названии иероглифы. Все сделал как вы сказали: сканировал, очистил и восстановил, комп перезагрузил(перезагрузился самостоятельно). Касперский снова ругается. Как переделать лог FRST? Я старый удалил, и отсканировал по новой, но лог не появился...
 
Утилиту FRST запускаете с Рабочего стола? Правой кнопкой от имени администратора?

По AdwCleaner:
  • отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
 
Простите, тупанул... это то, что вам нужно?
 

Вложения

  • FRST.txt
    30.9 KB · Просмотры: 2
Да, и еще Addition.txt
 
Или это?
 

Вложения

  • AdwCleaner[S04].txt
    1.6 KB · Просмотры: 1
  • Addition.txt
    53.6 KB · Просмотры: 1
По FRST достаточно. А по AdwCleaner - отчёт об очистке содержит в имени символ [Cxx], а не [Sxx] (х - любая цифра).
 
Увы... мне это ни о чем не говорит. Нужно переделать отчет AdwCleaner или что?
 
Если вы сделали очистку, в той же папке должен быть ещё файл с именем AdwCleaner[Cxx].txt
Далее:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: D - D:\iLinker.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {138ac427-59ae-11e4-8c0c-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {38ecde3b-a2cd-11e4-adc0-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {3d397fb3-4301-11e4-9fd5-9932714a00fc} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {3d397fbd-4301-11e4-9fd5-9932714a00fc} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {56eb4249-99a1-11e4-bcd0-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {56eb4256-99a1-11e4-bcd0-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {56eb4262-99a1-11e4-bcd0-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {6ddcde74-a926-11e4-9631-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {6ddcde9f-a926-11e4-9631-c03fd5b0e097} - G:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {8b435f87-b1e6-11e4-a7da-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {a818455f-46d8-11e4-8364-c03fd5b0e097} - D:\iLinker.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {ac16537f-a3a6-11e4-9ab8-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {ac16538f-a3a6-11e4-9ab8-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {ac16539b-a3a6-11e4-9ab8-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {b739b38f-a478-11e4-88fa-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {ba7c423b-6356-11e4-8318-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {cb4072c6-95a8-11e4-84cb-c03fd5b0e097} - D:\AutoRun.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
    S2 3DM; C:\windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 3DM; C:\windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 ihctrl32; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 ihctrl32; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 MCRL; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 MCRL; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    R2 MS_CHECK_SVC; C:\ProgramData\Microsoft\DeviceSync\LocalBackup.dll [487424 2017-02-08] () [File not signed] <==== ATTENTION
    S2 MVCSrv; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (no ServiceDLL)
    S2 MVCSrv; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (no ServiceDLL)
    S2 WinInstallSvc; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 WinInstallSvc; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 WPDTSrv; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 WPDTSrv; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 wsaudio; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 wsaudio; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 GameExplorerUpdate; C:\ProgramData\Microsoft\Windows\GameExplorer\Resources.dll [X] <==== ATTENTION
    S2 MSCFG_SVR; C:\ProgramData\Microsoft\Office\office_updater.dll [X] <==== ATTENTION
    S2 SNARE; C:\Users\керя\AppData\Local\SNARE\Snarer.dll [X] <==== ATTENTION
    S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys [X]
    S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [X]
    S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X]
    S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [X]
    S3 TSSKX64; System32\drivers\tsskx64.sys [X]
    Task: {2B2F7CC1-0193-48CD-86CF-E18301F17613} - \Milimili -> No File <==== ATTENTION
    Task: {D4E6E522-24A1-4B9C-804B-871658D7F576} - \kerja -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

ESET: все что смог найти - удалил
Хвосты всё ещё видны. Пройдитесь их утилитой удаления:
Чистка системы после некорректного удаления антивируса.
 
Последнее редактирование:
Время поджимает, не страшно если продолжить "процедуры" я смогу лишь завтра, после 18.00?
 

Вложения

  • Fixlog.txt
    14.2 KB · Просмотры: 2
  • Fixlog_31-03-2019 20.39.58.txt
    14.2 KB · Просмотры: 1
  • AdwCleaner[C01].txt
    11 KB · Просмотры: 3
Не страшно. Заодно проверите, есть ли изменения к лучшему.
 
Добрый вечер. Вроде все норм - антивирусник молчит. Есть правда еще одна проблемка,(в архиве скрин, там все видно) эта дрянь появилась вместе с MEM:Trojan.Multi.Cform.c. Касперский её сразу удалил, я поэтому и не упомянул о ней, а теперь вот снова появилась, и не хочет удалятся.
 

Вложения

  • Безымянный.rar
    128.3 KB · Просмотры: 6
Корзину очищали?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу