Winlin 0 Опубликовано 13 мая Share Опубликовано 13 мая mem:backdoor.win32.insistent.gen после лечения с перезапуском снова обнаруживается. снял диск, подключил к другому компу, поиск не выявляет наличия вируса. при установке обратно диска и загрузки с него опять обнаруживается. Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 13 мая Share Опубликовано 13 мая Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
Winlin 0 Опубликовано 13 мая Автор Share Опубликовано 13 мая запускать автологгер не смотря на предупреждение Антивируса об активной угрозе? Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 13 мая Share Опубликовано 13 мая Если бы антивирус у вас перестал показывать предупреждение, то вы бы к нам не обратились. Ссылка на сообщение Поделиться на другие сайты
Winlin 0 Опубликовано 13 мая Автор Share Опубликовано 13 мая я о том что надо выключить антивирус перед запуском автологера. получается даем свободу вирусу? CollectionLog-2024.05.13-17.01.zip был еще HEUR:Trojan.Win64.Miner.gen но его вроде удалось удалить. Кстати HEUR:Trojan.Win64.Miner.gen в реестре насоздавал ключей в HKLM\Software чтобы нельзя было установить антивирус. есть ли у вас скрипт чтобы поубивать эти ключи? Под касперского я руками удалил, но там еще много. KVRT так же нашел в памяти вирус, полечил с перезагрузкой и Windows перестала загружаться. после устранения неполадок ОС загрузилась и снова KVRT нашел тот же вирус. Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 13 мая Share Опубликовано 13 мая Добавьте дополнительно образ автозапуска системы в uVS. 1. Скачать архив программы можно отсюда: 2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe (для Vista, W7, W8, W10, W11 запускаем с правами администратора) 3. В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора). 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. 6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 13 мая Share Опубликовано 13 мая Майнер живее всех живых. Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('c:\windows\System32\mobsync.dll',''); DeleteFile('c:\windows\System32\mobsync.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_8b98b4\Parameters','ServiceDll','x64'); DeleteFile('C:\ProgramData\sniff-misty\bin.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
Winlin 0 Опубликовано 13 мая Автор Share Опубликовано 13 мая (изменено) C:\ProgramData\sniff-misty\bin.exe этой папки у меня нет. я ее уже удалял. скрипт уронил ОС в синий экран Изменено 13 мая пользователем Winlin Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 13 мая Share Опубликовано 13 мая (изменено) Что сейчас с системой? загружается рабочий стол? можете повторить создание образа автозапуска? + добавьте логи журнала обнаружения угроз штатного антивируса Изменено 13 мая пользователем safety Ссылка на сообщение Поделиться на другие сайты
Winlin 0 Опубликовано 13 мая Автор Share Опубликовано 13 мая идет процесс создания образа Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 13 мая Share Опубликовано 13 мая хорошо, ждем Ссылка на сообщение Поделиться на другие сайты
Winlin 0 Опубликовано 13 мая Автор Share Опубликовано 13 мая DESKTOP-ASUSF55_2024-05-13_18-54-23_v4.15.3v.7z Ссылка на сообщение Поделиться на другие сайты
Winlin 0 Опубликовано 13 мая Автор Share Опубликовано 13 мая 43 минуты назад, thyrex сказал: RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_8b98b4\Parameters','ServiceDll','x64'); удалил c:\windows\SysWOW64\mobsync.dll удалил в систем32 этого файла не было Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 13 мая Share Опубликовано 13 мая (изменено) Образ смотрю, Можно еще добавить лог из журнала обнаружений антивируса, чтобы было больше информации о детекте, который вы указали. MOBSYNC - живой и невридимый C:\WINDOWS\SYSWOW64\MOBSYNC.DLL HKLM\System\CurrentControlSet\Services\MobSyncBrokerSvc_8b98b4\Parameters\ServiceDLL загрузился через задачу: C:\Windows\SysWOW64\svchost.exe -k DcomLaunch -s MobSyncBrokerSvc_8b98b4 пока ничего не удаляйте, скриптом все зачистим. Изменено 13 мая пользователем safety Ссылка на сообщение Поделиться на другие сайты
Winlin 0 Опубликовано 13 мая Автор Share Опубликовано 13 мая вот так антивирус в отчетах пишет обытие: Обнаружен вредоносный объект Пользователь: DESKTOP-ASUSF55\admin Тип пользователя: Активный пользователь Имя программы: avp.exe Путь к программе: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows Компонент: Защита от файловых угроз Описание результата: Обнаружено Тип: Троянская программа Название: MEM:Backdoor.Win32.Insistent.gen Точность: Точно Степень угрозы: Высокая Тип объекта: Файл Имя объекта: System Memory Причина: Экспертный анализ Дата выпуска баз: Сегодня, 13.05.2024 8:11:00 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения