[РЕШЕНО] mem:backdoor.win32.insistent.gen после лечения с перезапуском снова обнаруживается.

[Winlin]

mem:backdoor.win32.insistent.gen  после лечения с перезапуском снова обнаруживается. 

 

снял диск, подключил к другому компу, поиск не выявляет наличия вируса. при установке обратно диска и загрузки с него опять обнаруживается.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Winlin]

запускать автологгер  не смотря на предупреждение Антивируса об активной угрозе?

[Mark D. Pearlstone]

Если бы антивирус у вас перестал показывать предупреждение, то вы бы к нам не обратились.

[Winlin]

я о том что надо выключить антивирус перед запуском автологера. получается даем свободу вирусу?

 

CollectionLog-2024.05.13-17.01.zip

 

 был еще HEUR:Trojan.Win64.Miner.gen

но его вроде удалось удалить.

 

Кстати HEUR:Trojan.Win64.Miner.gen  в реестре насоздавал  ключей в HKLM\Software   чтобы нельзя было установить антивирус. есть ли у вас скрипт чтобы поубивать эти ключи? Под касперского я руками удалил, но там еще много.

 

KVRT так же нашел в памяти вирус, полечил с перезагрузкой и Windows  перестала загружаться.

 

после устранения неполадок ОС загрузилась и снова KVRT  нашел тот же вирус.

[safety]

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[thyrex]

Майнер живее всех живых.

 

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\System32\mobsync.dll','');
 DeleteFile('c:\windows\System32\mobsync.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_8b98b4\Parameters','ServiceDll','x64');
 DeleteFile('C:\ProgramData\sniff-misty\bin.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Winlin]

 

C:\ProgramData\sniff-misty\bin.exe

 

этой папки у меня нет.

я ее уже удалял.

скрипт уронил ОС в синий экран

 

Изменено 13 мая пользователем Winlin

[safety]

Что сейчас с системой? загружается рабочий стол? можете повторить создание образа автозапуска?

+

добавьте логи журнала обнаружения угроз штатного антивируса

Изменено 13 мая пользователем safety

[Winlin]

идет процесс создания образа

[safety]

хорошо, ждем

[Winlin]

DESKTOP-ASUSF55_2024-05-13_18-54-23_v4.15.3v.7z

[Winlin]

43 минуты назад, thyrex сказал:

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_8b98b4\Parameters','ServiceDll','x64');

 

 

удалил

 

c:\windows\SysWOW64\mobsync.dll  удалил

в систем32  этого файла не было

[safety]

Образ смотрю,

Можно еще добавить лог из журнала обнаружений антивируса, чтобы было больше информации о детекте, который вы указали.

MOBSYNC - живой и невридимый

C:\WINDOWS\SYSWOW64\MOBSYNC.DLL

HKLM\System\CurrentControlSet\Services\MobSyncBrokerSvc_8b98b4\Parameters\ServiceDLL

загрузился через задачу:

C:\Windows\SysWOW64\svchost.exe -k DcomLaunch -s MobSyncBrokerSvc_8b98b4

 

пока ничего не удаляйте, скриптом все зачистим.

Изменено 13 мая пользователем safety

[Winlin]

вот так антивирус в отчетах пишет

 

обытие: Обнаружен вредоносный объект
Пользователь: DESKTOP-ASUSF55\admin
Тип пользователя: Активный пользователь
Имя программы: avp.exe
Путь к программе: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows
Компонент: Защита от файловых угроз
Описание результата: Обнаружено
Тип: Троянская программа
Название: MEM:Backdoor.Win32.Insistent.gen
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: System Memory
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 13.05.2024 8:11:00