Закрыто Помогите удалить MEM:Trojan.Multi.Cform.c

  • Автор темы Александр К.
  • Дата начала
Статус
В этой теме нельзя размещать новые ответы.
А

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Собрал
Лог стандартной проверки
 

Вложения

Последнее редактирование:
Sandor

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,814
Реакции
1,732
Баллы
503
Следы Eset по-прежнему видны. Пройдитесь ещё раз утилитой ESETUninstaller.exe в безопасном режиме.

Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    R1 EpfwLWF; C:\Windows\System32\DRIVERS\EpfwLWF.sys [61568 2016-11-12] (ESET, spol. s r.o. -> ESET)
    S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Windows -> Microsoft Corporation) [DependOnService: iThemes5]<==== ATTENTION
    S2 Apps_Cfg; C:\ProgramData\Apple\Apps\config.dll [X]
    S4 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [X]
    S4 GubZL; C:\Program Files (x86)\Gub\GubZL.dll [X]
    2019-03-31 17:44 - 2017-08-19 13:24 - 000000000 ____D C:\Users\TEMP\AppData\Roaming\Auslogics
    2019-03-31 17:44 - 2014-09-23 15:15 - 000000000 ____D C:\Users\керя\AppData\Roaming\Auslogics
    2019-03-31 17:44 - 2014-09-23 15:14 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Auslogics
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
А

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Все сделал. Изменился вид панели задач(она стала прозрачная). И во что мне, в связи с этим вспомнилось - когда прошлый раз я долго и мучительно удалял ameleC то вместе с ним на компе пропал этот эффект прозрачности(аэро вроде он называется?), и пропал выбор, ПКМ(на каком либо файле) -отправить - документы (раньше там был выбор, а теперь только одна строка "документы").
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,514
Реакции
13,119
Баллы
2,203
Сделайте экспорт ветки реестра, посмотрим, что удалилось.
HKEY_CLASSES_ROOT\Directory
 
А

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Сделал... вроде.
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,514
Реакции
13,119
Баллы
2,203
Вроде все на месте. Пункты меню содержаться в папках
Shell и shellex
 
А

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Сделать экспорт shell и shellex?
 
akok

akok

Команда форума
Администратор
Сообщения
16,514
Реакции
13,119
Баллы
2,203
Уже сделали, и я посмотрел.
 
akok

akok

Команда форума
Администратор
Сообщения
16,514
Реакции
13,119
Баллы
2,203
Теперь давайте посмотрим ветку (по идее она должна быть пустая, но перепроверим)
Компьютер\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
 
А

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Вроде она
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,514
Реакции
13,119
Баллы
2,203
Зайдем так, нажмите комбинацию клавиш

Win+R, в открывшемся меню вставьте shell:sendto
43301


Откроется окно, проверьте какие ссылки для меню "отправить" есть, добавьте недостающее (просто скопировать или перетянуть в окно)
 
А

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Понял, спасибо.
 
А

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Если на этом все, то вы хоть в известность поставьте.
 
akok

akok

Команда форума
Администратор
Сообщения
16,514
Реакции
13,119
Баллы
2,203
Так вас ждем, получилось или нет. Остались проблемы или нет :)
 
А

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Все по прежнему, предупреждение об угрозе осталось. Лечит, просит перезагрузки, перезагружается, находит, лечит... Malwarebytes произвел проверку(самостоятельно) нашел около 40 вредоносных файлов, два из них(в названии которых было слово amuieC) я поместил в карантин, остальные оставил как есть.
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,514
Реакции
13,119
Баллы
2,203
По первому скрину
Удалены ссылки из меню пуск
По второму, внесите в список игнорирования, подобный детект идет на легитимное ПО двойного назначения
 
А

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Ну одну то я и так вношу, ибо знаю что это за программа, где и когда скачана(FS17). А вот со второй непонятки какие то, я не знаю что это за программа и где находится - нет не папок, не файлов... В антивирусе нажимаешь "месторасположения файла" выдает это (скрин в архиве) Почему эта хрень находится на пути к корзине? Я, конечно же, последую вашим рекомендациям и просто заигнорю это ПО, но... есть ли возможность узнать, частью какой программе это ПО является? А те программки, которые тут скачивал, теперь можно удалить?
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,514
Реакции
13,119
Баллы
2,203
Нужно включить отображение скрытых файлов


Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.


В начале отключите все и удалите файлы в корзине при помощи антивируса, а после включайте автозапуск по очереди пока не найдете программу-виновника.
 
А

Александр К.

Новый пользователь
Сообщения
29
Реакции
0
Баллы
1
Отображение скрытых файлов уже включал - и ничего подозрительного не увидел, антивирусник по команде "перейти к файлу" так же открыл корзину(пустую) которая находилась в той же самой пустой папке($RECYCLE.BIN) которую не видно и так и при включении отображения скрытых файлов.
Перезагрузил в безопасном режиме, запустил антивирус(без его запуска я не могу определить есть проблема или нет) снова два предупреждения о потенциально опасном ПО.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу