Закрыто Помогите удалить MEM:Trojan.Multi.Cform.c

Статус
В этой теме нельзя размещать новые ответы.

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Касперский обнаружил вирус, но удалить не может. Включаешь комп и через пару минут после загрузки антивирусник начинает ругаться(Обнаружено: MEM:Trojan.Multi.Cform.c Расположение: Sistem Memory) кликаешь - лечить с перезагрузкой, минут пять проверяет файлы и перезагружается. После загрузки все вроде норм и антивирусник приступает к полной проверке(самостоятельно), но примерно через 10-40 мин. окно с предупреждением об угрозе всплывает вновь, проверка при этом не прерывается, но через несколько часов тормозится на 99% (на этапе проверки системной памяти) ждал 12 часов но процесс так и не продвинулся далее 99%. Комп при этом работает так же как и раньше(во всяком случае изменений я не заметил, ну разве что замедлилось быстродействие, как и обычно при активной работе данного антивирусника)
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,233
Реакции
13,284
Баллы
2,203
ESET Personal Firewall - удалите остатки
Tencent -сами устанавливали?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe','');
 QuarantineFile('C:\Program Files (x86)\Uncheckit\cktSvc.exe','');
 DeleteFile('C:\Program Files (x86)\Uncheckit\cktSvc.exe','64');
 DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe','64');
 DeleteSchedulerTask('{07DA3013-2AEF-468A-BE20-3F6DC2578024}');
 DeleteSchedulerTask('UncheckitTaskMN');
 DeleteSchedulerTask('WinTOOL');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.amisites.com/?type=hp&ts=1484650253&z=08a48d799b414352cdc6d67gaz8b1z6qawce8o8zeb&from=archer1028&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.nuesearch.com/search/?type=ds&ts=1473246052&z=66fa2bde8c8625f7387b00ag1z1m4c0o7z1q9edzbb&from=che0812&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX&q={searchTerms}
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command: (default) = "c:\program files\internet explorer\iexplore.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.amisites.com/?type=hp&ts=1484650253&z=08a48d799b414352cdc6d67gaz8b1z6qawce8o8zeb&from=archer1028&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://www.nuesearch.com/search/?type=ds&ts=1466501406&z=6764b3211464e341ac87fd1g3zfq0q0waeag8zae2c&from=wpm0616&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.nuesearch.com/search/?type=ds&ts=1466501406&z=6764b3211464e341ac87fd1g3zfq0q0waeag8zae2c&from=wpm0616&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.amisites.com/?type=hp&ts=1484650253&z=08a48d799b414352cdc6d67gaz8b1z6qawce8o8zeb&from=archer1028&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://www.nuesearch.com/search/?type=ds&ts=1466501406&z=6764b3211464e341ac87fd1g3zfq0q0waeag8zae2c&from=wpm0616&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://www.nuesearch.com/search/?type=ds&ts=1466501406&z=6764b3211464e341ac87fd1g3zfq0q0waeag8zae2c&from=wpm0616&uid=TOSHIBAXDT01ACA050_14QD5UKASXX14QD5UKASX&q={searchTerms}
O22 - Task: AdobeFlashPlayer-S-2-1-24-198293847112UI - C:\Users\керя\AppData\Roaming\Auslogics\adobeupd.exe (file missing)
O22 - Task: BirdsarahUpdateTaskMachineCore - C:\Program Files (x86)\Birdsarah\Update\BirdsarahUpdate.exe -c (file missing)
O22 - Task: BirdsarahUpdateTaskMachineUA - C:\Program Files (x86)\Birdsarah\Update\BirdsarahUpdate.exe -ua (file missing)
O22 - Task: Browser Updater Task(Core) - C:\Program Files (x86)\TXQQBrowser\Update\C73A30F731C62BF3031B381F747FA3B5\Update\BrowserUpdate.exe 87B20C06-6890-4CFE-B40F-004064F87F12 (file missing)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
ESET: все что смог найти - удалил. Tencent не устанавливал, и не знаю что это такое.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,233
Реакции
13,284
Баллы
2,203
++ нужен лог
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Заранее прошу простить мою непонятливость - не силен я в компьютерах)) Мои знания ограничиваются самообразованием, да и то по необходимости(примерно так как сейчас).
Какой лог нужен? Я прислал все что вам требовалось, или что то пропустил? Просканировал AdwCleaner он предлагает "очистить и восстановит", просто закрыть программу или как?
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,233
Реакции
13,284
Баллы
2,203
просто закрыть программу или как?
Все верно. Это делается, чтоб не допустить удаления легитимного ПО. Вот сейчас будем удалять

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Многое удаляется, пожалуйста, переделайте логи FRST, а то не понятно, что удалилось, а что нет.


Tencent не устанавливал, и не знаю что это такое.
Часть китайского ПО. В списке установленных программ есть программы с иероглифами?
 

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
В AdwCleaner, по умолчанию отмечено:"удалить ключи Tracing" и "сбросить Winsock". Как быть с ними, оставить как есть или отметить исключительно те, что указали вы, а остальные отметки снять?
 

akok

Команда форума
Администратор
Сообщения
17,233
Реакции
13,284
Баллы
2,203
Если я не просил, то галочки нужно снять.
 

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
В списке установленных программ нет программ содержащих в названии иероглифы. Все сделал как вы сказали: сканировал, очистил и восстановил, комп перезагрузил(перезагрузился самостоятельно). Касперский снова ругается. Как переделать лог FRST? Я старый удалил, и отсканировал по новой, но лог не появился...
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,259
Реакции
1,797
Баллы
563
Утилиту FRST запускаете с Рабочего стола? Правой кнопкой от имени администратора?

По AdwCleaner:
  • отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,259
Реакции
1,797
Баллы
563
Да, и еще Addition.txt
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,259
Реакции
1,797
Баллы
563
По FRST достаточно. А по AdwCleaner - отчёт об очистке содержит в имени символ [Cxx], а не [Sxx] (х - любая цифра).
 

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Увы... мне это ни о чем не говорит. Нужно переделать отчет AdwCleaner или что?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,259
Реакции
1,797
Баллы
563
Если вы сделали очистку, в той же папке должен быть ещё файл с именем AdwCleaner[Cxx].txt
Далее:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: D - D:\iLinker.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {138ac427-59ae-11e4-8c0c-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {38ecde3b-a2cd-11e4-adc0-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {3d397fb3-4301-11e4-9fd5-9932714a00fc} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {3d397fbd-4301-11e4-9fd5-9932714a00fc} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {56eb4249-99a1-11e4-bcd0-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {56eb4256-99a1-11e4-bcd0-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {56eb4262-99a1-11e4-bcd0-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {6ddcde74-a926-11e4-9631-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {6ddcde9f-a926-11e4-9631-c03fd5b0e097} - G:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {8b435f87-b1e6-11e4-a7da-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {a818455f-46d8-11e4-8364-c03fd5b0e097} - D:\iLinker.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {ac16537f-a3a6-11e4-9ab8-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {ac16538f-a3a6-11e4-9ab8-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {ac16539b-a3a6-11e4-9ab8-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {b739b38f-a478-11e4-88fa-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {ba7c423b-6356-11e4-8318-c03fd5b0e097} - D:\AutoRun.exe
    HKU\S-1-5-21-1014014660-1423473450-48691024-1000\...\MountPoints2: {cb4072c6-95a8-11e4-84cb-c03fd5b0e097} - D:\AutoRun.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
    S2 3DM; C:\windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 3DM; C:\windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 ihctrl32; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 ihctrl32; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 MCRL; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 MCRL; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    R2 MS_CHECK_SVC; C:\ProgramData\Microsoft\DeviceSync\LocalBackup.dll [487424 2017-02-08] () [File not signed] <==== ATTENTION
    S2 MVCSrv; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (no ServiceDLL)
    S2 MVCSrv; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION <==== ATTENTION (no ServiceDLL)
    S2 WinInstallSvc; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 WinInstallSvc; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 WPDTSrv; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 WPDTSrv; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 wsaudio; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 wsaudio; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
    S2 GameExplorerUpdate; C:\ProgramData\Microsoft\Windows\GameExplorer\Resources.dll [X] <==== ATTENTION
    S2 MSCFG_SVR; C:\ProgramData\Microsoft\Office\office_updater.dll [X] <==== ATTENTION
    S2 SNARE; C:\Users\керя\AppData\Local\SNARE\Snarer.dll [X] <==== ATTENTION
    S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys [X]
    S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [X]
    S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X]
    S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [X]
    S3 TSSKX64; System32\drivers\tsskx64.sys [X]
    Task: {2B2F7CC1-0193-48CD-86CF-E18301F17613} - \Milimili -> No File <==== ATTENTION
    Task: {D4E6E522-24A1-4B9C-804B-871658D7F576} - \kerja -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

ESET: все что смог найти - удалил
Хвосты всё ещё видны. Пройдитесь их утилитой удаления:
Чистка системы после некорректного удаления антивируса.
 
Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,259
Реакции
1,797
Баллы
563
Не страшно. Заодно проверите, есть ли изменения к лучшему.
 

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Добрый вечер. Вроде все норм - антивирусник молчит. Есть правда еще одна проблемка,(в архиве скрин, там все видно) эта дрянь появилась вместе с MEM:Trojan.Multi.Cform.c. Касперский её сразу удалил, я поэтому и не упомянул о ней, а теперь вот снова появилась, и не хочет удалятся.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,233
Реакции
13,284
Баллы
2,203
Корзину очищали?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу