Перейти к содержимому


Фотография
- - - - -

Trojan.Multi.GenAutorunWMI.a system memory не могу удалить

Trojan.Multi.GenAutorunWMI.a system memory вирус в памяти

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


Сообщений в теме: 16

#1 OFF   nikhopka

nikhopka

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 22 March 2020 - 20:33

Не могу удалить Trojan.Multi.GenAutorunWMI.a из оперативки сервера 2008R2, который круглосуточно в работе (мониторинг, можно только перезагружаться, отключать от сети - не вариант).

После лечения через KVRT троян пропадает неделю и снова появляется. Также постоянно удаляется hosts.

Что он делает я вроде выяснила: складывает биткоинмайнер smss.exe от "my star" в C:/Windows/Temp и запускает его, при чём тот начинает грузить 50%ЦП.

Сам майнер заблочила штатными средствами.

 

Пробовала чистить Malwarebytes, Cureit, KVRT, AVZ. На сервере был установлен MS Essential, который видел только майнер, в самой оперативке - ничего.

Прикрепленные файлы


  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4044

Отправлено 22 March 2020 - 21:10

Здравствуйте,

С базой-данных MySQL ничего странного не происходило на момент проблемы? Случайно не появляили странные базы-данных или в каталоге MySQL\Bin какие-то файлы?

Что из следущего вам известно?

O7 - Policy: [Untrusted Certificate] HKLM - 1990649205B55EAB5D692E9EDB1BE0DDD3B037DE - SenncomRootCA
O7 - Policy: [Untrusted Certificate] HKLM - 3AD010247A8F1E991F8DDE5D47989CB5202E5614 - DarkMatter Secure CA
O7 - Policy: [Untrusted Certificate] HKLM - 6A2C691767C2F1999B8C020CBAB44756A99A0C41 - DarkMatter Secure CA
O7 - Policy: [Untrusted Certificate] HKLM - 6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9 - DarkMatter Assured CA
O7 - Policy: [Untrusted Certificate] HKLM - 8835437D387BBB1B58FF5A0FF8D003D8FE04AED4 - DarkMatter High Assurance CA
O7 - Policy: [Untrusted Certificate] HKLM - 9FEB091E053D1C453C789E8E9C446D31CB177ED9 - DarkMatter Assured CA
O7 - Policy: [Untrusted Certificate] HKLM - C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1 - 127.0.0.1
O7 - Policy: [Untrusted Certificate] HKLM - D3FD325D0F2259F693DD789430E3A9430BB59B98 - DarkMatter High Assurance CA
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\Wbem
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\WindowsPowerShell\v1.0

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 
  • 0
  • Спасибо x 1
  • Показать

#3 OFF   nikhopka

nikhopka

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 22 March 2020 - 21:35

С базой-данных MySQL ничего странного не происходило на момент проблемы? Случайно не появляили странные базы-данных или в каталоге MySQL\Bin какие-то файлы?

Да, были месяца 3 назад, KVRT тогда выявил в каких-то *.dll трояны. и удалил их. 
Насчёт баз - не могу определить какие странные, какие нет. Одна из программ мониторинга использует множество таблиц.
 

Что из следущего вам известно?

Ничего ) Это видимо сертификаты, которые не относятся к удостоверяющим центрам..?
 

HiJackThis (из каталога autologger)профиксить Важно: необходимо отметить и профиксить только то, что указано ниже.

Пофиксила.

 

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Прикрепила.

 

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   32.69К   скачиваний 2
  • Прикрепленный файл  FRST.txt   182.99К   скачиваний 2

  • 0

#4 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4044

Отправлено 22 March 2020 - 22:33


Да, были месяца 3 назад, KVRT тогда выявил в каких-то *.dll трояны. и удалил их. 
Насчёт баз - не могу определить какие странные, какие нет. Одна из программ мониторинга использует множество таблиц.

А меняли пароли после этого?
 

Ничего ) Это видимо сертификаты, которые не относятся к удостоверяющим центрам..?

Но сами вы их не помечали как недоверенные?


Остались остатки от Zenama на вашем сервере:

S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]

Сделайте резервную копию состояния системы.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
    Start::
    CreateRestorePoint:
    Task: {ED193743-7050-42E1-9D98-60BF608154AF} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
    File: C:\Windows\system32\wuaueng2.dll
    File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
    File: C:\Windows\system32\MOSCHIP_PciUninst.exe
    File: C:\Windows\system32\MOSCHIP_StnUninst.exe
    File: C:\Windows\Activator.exe
    File: C:\Users\ss\Downloads\ritm.conf.exe
    Virustotal: c:\program files\common files\eldes\qtsolutions_service-head.dll
    Virustotal: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
    Virustotal: C:\Windows\system32\MOSCHIP_PciUninst.exe
    Virustotal: C:\Windows\system32\MOSCHIP_StnUninst.exe
    Virustotal: C:\Windows\Activator.exe
    Zip: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys;C:\Windows\Temp\ex.exe 
    AlternateDataStreams: C:\ProgramData\TEMP:DDE29E40 [211]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:DDE29E40 [211]
    FirewallRules: [{4EF2E6B5-C235-4475-980F-E3FA67A40042}] => (Allow) C:\Windows\Temp\ex.exe No File
    FirewallRules: [{FB3AC515-7F4D-4893-A0C2-219F6248370D}] => (Allow) C:\Windows\Temp\ex.exe No File
    FirewallRules: [{95BBEA9C-5C8B-4D0D-A264-7741014E2AE2}] => (Block) %SystemRoot%\Temp\ex.exe No File
    End::
    
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите  через данную форму

 

 

Похоже на вредоносные записи, они вам знакомы?

WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EFNMdr\":: <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EF\":: <==== ATTENTION
WMI:subscription\__EventFilter->EF::[Query => SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = "MyASEventConsumer"]

  • 0
  • Спасибо x 1
  • Показать

#5 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4044

Отправлено 23 March 2020 - 22:02

Уточните пожалуйста, вам еще нужна помощь?

P.S. пришло подтверждение от ЛК о вредоносности ранее указанных строк.


  • 0
  • Спасибо x 1
  • Показать

#6 OFF   nikhopka

nikhopka

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 27 March 2020 - 16:23

Уточните пожалуйста, вам еще нужна помощь?

P.S. пришло подтверждение от ЛК о вредоносности ранее указанных строк.

Да, извините, просто я могу этим заниматься только по выходным.

 

 

А меняли пароли после этого?

Где конкретно?

 

 

Но сами вы их не помечали как недоверенные?

Нет.

 

 

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

 

 

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

Это придётся до завтра отложить. Завтра выложу.

 

 

Похоже на вредоносные записи, они вам знакомы?

Как удалить эти вредоносные строки?


Сообщение отредактировал nikhopka: 27 March 2020 - 16:25

  • 0

#7 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4044

Отправлено 27 March 2020 - 19:06

Это придётся до завтра отложить. Завтра выложу.


Если только ранее не выполняли, то я то выполните следующий.

 

Как удалить эти вредоносные строки?

Я добавил вредоносные строки в исправление.

Желательно перед следующими манипуляциями сделать минимум одну резервную копию состояния системы.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
    Start::
    Task: {ED193743-7050-42E1-9D98-60BF608154AF} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
    File: C:\Windows\system32\wuaueng2.dll
    File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
    File: C:\Windows\system32\MOSCHIP_PciUninst.exe
    File: C:\Windows\system32\MOSCHIP_StnUninst.exe
    File: C:\Windows\Activator.exe
    File: C:\Users\ss\Downloads\ritm.conf.exe
    Virustotal: c:\program files\common files\eldes\qtsolutions_service-head.dll
    Virustotal: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
    Virustotal: C:\Windows\system32\MOSCHIP_PciUninst.exe
    Virustotal: C:\Windows\system32\MOSCHIP_StnUninst.exe
    Virustotal: C:\Windows\Activator.exe
    Zip: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys;C:\Windows\Temp\ex.exe 
    AlternateDataStreams: C:\ProgramData\TEMP:DDE29E40 [211]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:DDE29E40 [211]
    FirewallRules: [{4EF2E6B5-C235-4475-980F-E3FA67A40042}] => (Allow) C:\Windows\Temp\ex.exe No File
    FirewallRules: [{FB3AC515-7F4D-4893-A0C2-219F6248370D}] => (Allow) C:\Windows\Temp\ex.exe No File
    FirewallRules: [{95BBEA9C-5C8B-4D0D-A264-7741014E2AE2}] => (Block) %SystemRoot%\Temp\ex.exe No File
    WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EFNMdr\":: <==== ATTENTION
    WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ASEventConsumerdr.Name=\"MYASECdr\"",Filter="\\.\root\subscription:__EventFilter.Name=\"EF\":: <==== ATTENTION
    WMI:subscription\__EventFilter->EF::[Query => SELECT * FROM __InstanceCreationEvent WHERE TargetInstance.__class = "MyASEventConsumer"]
    End::
    
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму .


  • 0
  • Спасибо x 1
  • Показать

#8 OFF   nikhopka

nikhopka

    Новичок

  • Новички
  • Cообщений: 8

Отправлено Вчера, 03:53

SQ



File: C:\Users\836D~1\AppData\Local\Temp\2\VSPE.sys 
File: C:\Users\ss\Downloads\ritm.conf.exe

Эти вещи я, кажется, знаю (они запущены постоянно): 
VSPE - программа для просбросов портов;
ritm.conf.exe - программа для конфигурирования оборудования (входит в состав дитрибутива).
 

Программа создаст лог-файл (Fixlog.txt). .

Прикрепленный файл  Fixlog.txt   8.05К   скачиваний 1
 

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму.

Загрузила, только не поняла, что с этим делать:
Прикрепленный файл  2020-03-29_03-44-12.png   12.57К   скачиваний 0
 
Что делать дальше?

PS. А эти моменты актуальны? Поясните, пожалуйста.

А меняли пароли после этого?

Где конкретно?

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?


Сообщение отредактировал nikhopka: Вчера, 03:56

  • 0

#9 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4044

Отправлено Вчера, 04:37

Похоже ваш сервер был заражен Bondnet (сервер использовался как ботнет), скорее всего был взломан через MySQL. Вам желательно необходимо убедиться, что Ваш MySQL Server обновлен и не уязвим к известным уязвимостям. Найденный записи в wmi на вашем сервер это подверждат, а также согласно утилите на gidhub по удалению этого типа ботнета.

Могли бы проверить если на сервер имется файл лога "%windir%\wb2010kb.log" (AttackLogFile) и "%windir%\temp\dfvt.log" (TrojanLogFile)?
P.S. Возможно спомощью их вы узнаете на какие сервера производились аттаки с вашего сервера.

 

 

А меняли пароли после этого?

Где конкретно?

 

Как минимум все учетные записи пользователей Windows, если он доступен из вне (т.е. в интернете). И для базы-данных (если она доступна из вне) если знаете как это можно сделать не нарушив его работу.
 

 

Остались остатки от Zenama на вашем сервере:

Их удалить ручками?

 

Можем попробовать их удалить спомощью утилиты FRST, но через безопасный режим, если хотите. На сколько я вижу на официальном сайте антивирусного ПО Zemana нет утилиты по удалению остатков его продуктов.

Уточните пожалуйста, что с проблемой?

Могли бы приложить новые логи утилиты FRST (frst.txt и addition.txt), чтобы убедиться, что все прошло хорошо?
 

 

На рабочем столе образуется карантин вида <date>.zip загрузите через данную форму.

Загрузила, только не поняла, что с этим делать:

 


Карантин отправил на анализ в Вирлаб, но по предварительным данным ex.exe это китайская версия winrar, почему она находиться во временом каталоге не ясно.


  • 0
  • Спасибо x 1
  • Показать

#10 OFF   nikhopka

nikhopka

    Новичок

  • Новички
  • Cообщений: 8

Отправлено Вчера, 04:44

Как минимум все учетные записи пользователей Windows, если он доступен из вне (т.е. в интернете). И для базы-данных (если она доступна из вне) если знаете как это можно сделать не нарушив его работу.

Сделано, сервер недоступен извне, БД вроде недоступна извне.

 

Можем попробовать их удалить спомощью утилиты FRST, но через безопасный режим, если хотите. На сколько я вижу на официальном сайте антивирусного ПО Zemana нет утилиты по удалению остатков его продуктов.

А это критично вообще? Сейчас посмотрела - их физически по этим путям нет.

 

Уточните пожалуйста, что с проблемой?

MS Essential ловил 23,24,25 марта в карантин майнер, и, видимо, самостоятельно от него избавился.

Прикрепленный файл  2020-03-29_04-31-59.png   92.19К   скачиваний 0

Сейчас (уже после фикса) запустила KVRT - также нашёл в ОЗУ 1 объект и, как водится, благополучно его вылечил. Это означает, что наши действия пока не помогли?

Прикрепленный файл  2020-03-29_04-38-56.png   39.35К   скачиваний 0Прикрепленный файл  2020-03-29_04-41-10.png   62.45К   скачиваний 0

Могли бы приложить новые логи утилиты FRST, чтобы убедиться, что все прошло хорошо?

Прикрепленный файл  FRST.txt   186.25К   скачиваний 2Прикрепленный файл  Addition.txt   35.82К   скачиваний 1

 

Могли бы проверить если на сервер имется файл лога "%windir%\wb2010kb.log" (AttackLogFile) и "%windir%\temp\dfvt.log" (TrojanLogFile)?

Нет ни того, ни другого.

 

Карантин отправил на анализ в Вирлаб, но по предварительным данным ex.exe это китайская версия winrar, почему она находиться во временом каталоге не ясно.

После очистки папки temp он там всё равно появляется. Может, он там для распаковки майнера?


Сообщение отредактировал nikhopka: Вчера, 04:51

  • 0

#11 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4044

Отправлено Вчера, 05:09

А это критично вообще? Сейчас посмотрела - их физически по этим путям нет.

Нет, просто есть записи в реестре о драйверах антивирусного ПО Zemana.


Согласно логам осталось еще одна вредоносная запись.

По возможности сделайте резервную копию состояния системы (System State backup) перед манипуляциями.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
    Start::
    WMI:subscription\__EventFilter->EFNMdr::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 5 WHERE TargetInstance ISA "Win32_LocalTime" AND TargetInstance.Hour=23 AND TargetInstance.Minute=0 AND TargetInstance.Second=0]
    End::
    
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.

UPD:


Пришел ответ от ВирЛаба касаемо вашего карантина:

==================

В присланном Вами файле не найдено ничего вредоносного.

==================


  • 0
  • Спасибо x 1
  • Показать

#12 OFF   nikhopka

nikhopka

    Новичок

  • Новички
  • Cообщений: 8

Отправлено Вчера, 05:10

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

Прикрепленный файл  Fixlog.txt   961байт   скачиваний 1

 

Что делать дальше (кроме MySQL - это я поняла)?


Сообщение отредактировал nikhopka: Вчера, 05:11

  • 0

#13 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4044

Отправлено Вчера, 05:13

Проверьте пожалуйста, что с проблемой?

P.S. В  ЛС (личным сообщением, вверху форума вы увидете конвертик) я отправил вам рекомендации от ЛК.


  • 0
  • Спасибо x 1
  • Показать

#14 OFF   nikhopka

nikhopka

    Новичок

  • Новички
  • Cообщений: 8

Отправлено Вчера, 05:15

SQПрикрепленный файл  FRST.txt   186.84К   скачиваний 1Прикрепленный файл  Addition.txt   36.14К   скачиваний 1


  • 0

#15 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4044

Отправлено Вчера, 05:20

В логах кроме предупреждений о битых записях Zemana, ничего плохого не вижу. Сообщите, если проблем еще воспроизводиться?
 


==================== Faulty Device Manager Devices ============

Name: ZAM Helper Driver
Description: ZAM Helper Driver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: ZAM
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Name: ZAM Guard Driver
Description: ZAM Guard Driver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: ZAM_Guard
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

- Если хотите это убрать, то можете попробовать выполнить следующие рекомендации в безопасном режиме:
- Также лучше сделать резерную копию состояния системы, так как изменения будут производиться в реестре, чтобы в случае неудачи, можно было откатить состояние работы системы.
 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
    Start::
    S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
    S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что сервер возможно будет перезагружен.

  • 0
  • Спасибо x 1
  • Показать





Темы с аналогичными тегами: Trojan.Multi.GenAutorunWMI.a, system memory, вирус в памяти

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных