Перейти к содержанию

[РЕШЕНО] mem:backdoor.win32.insistent.gen после лечения с перезапуском снова обнаруживается.


Рекомендуемые сообщения

mem:backdoor.win32.insistent.gen  после лечения с перезапуском снова обнаруживается. 

 

снял диск, подключил к другому компу, поиск не выявляет наличия вируса. при установке обратно диска и загрузки с него опять обнаруживается.

Ссылка на комментарий
Поделиться на другие сайты

Если бы антивирус у вас перестал показывать предупреждение, то вы бы к нам не обратились.

Ссылка на комментарий
Поделиться на другие сайты

я о том что надо выключить антивирус перед запуском автологера. получается даем свободу вирусу?

 

CollectionLog-2024.05.13-17.01.zip

 

 был еще HEUR:Trojan.Win64.Miner.gen

но его вроде удалось удалить.

 

Кстати HEUR:Trojan.Win64.Miner.gen  в реестре насоздавал  ключей в HKLM\Software   чтобы нельзя было установить антивирус. есть ли у вас скрипт чтобы поубивать эти ключи? Под касперского я руками удалил, но там еще много.

 

KVRT так же нашел в памяти вирус, полечил с перезагрузкой и Windows  перестала загружаться.

 

после устранения неполадок ОС загрузилась и снова KVRT  нашел тот же вирус.

Ссылка на комментарий
Поделиться на другие сайты

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

Майнер живее всех живых.

 

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\System32\mobsync.dll','');
 DeleteFile('c:\windows\System32\mobsync.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_8b98b4\Parameters','ServiceDll','x64');
 DeleteFile('C:\ProgramData\sniff-misty\bin.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты

 

C:\ProgramData\sniff-misty\bin.exe

 

этой папки у меня нет.

я ее уже удалял.

скрипт уронил ОС в синий экран

 

Изменено пользователем Winlin
Ссылка на комментарий
Поделиться на другие сайты

Что сейчас с системой? загружается рабочий стол? можете повторить создание образа автозапуска?

+

добавьте логи журнала обнаружения угроз штатного антивируса

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

43 минуты назад, thyrex сказал:

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_8b98b4\Parameters','ServiceDll','x64');

 

 

удалил

 

c:\windows\SysWOW64\mobsync.dll  удалил

в систем32  этого файла не было

Ссылка на комментарий
Поделиться на другие сайты

Образ смотрю,

Можно еще добавить лог из журнала обнаружений антивируса, чтобы было больше информации о детекте, который вы указали.

MOBSYNC - живой и невридимый

C:\WINDOWS\SYSWOW64\MOBSYNC.DLL

HKLM\System\CurrentControlSet\Services\MobSyncBrokerSvc_8b98b4\Parameters\ServiceDLL

загрузился через задачу:

C:\Windows\SysWOW64\svchost.exe -k DcomLaunch -s MobSyncBrokerSvc_8b98b4

 

пока ничего не удаляйте, скриптом все зачистим.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

вот так антивирус в отчетах пишет

 

обытие: Обнаружен вредоносный объект
Пользователь: DESKTOP-ASUSF55\admin
Тип пользователя: Активный пользователь
Имя программы: avp.exe
Путь к программе: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows
Компонент: Защита от файловых угроз
Описание результата: Обнаружено
Тип: Троянская программа
Название: MEM:Backdoor.Win32.Insistent.gen
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: System Memory
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 13.05.2024 8:11:00

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Magashmug
      От Magashmug
      Здравствуйте, после перезагрузки опять появляется вирус, вот мой файл.
      CollectionLog-2024.10.15-18.27.zip
    • Gillox
      От Gillox
      При игре в Тарков, а так же просто использовании пк без нагрузки время от времени крашется система. Думаю, подцепил майнер. Выдает синие экраны, либо пк просто перезагружается с черным экраном. Коды ошибок: 
      Memory_Management System Thread Exception not handled System Service Exception (Что вызвало проблему: Ntfs.sys) Kernel_Mode Heap Corruption CollectionLog-2024.11.04-18.56.zip
       
      Так же перестала работать панель уведомлений справа (при открытии она полностью пустая без значков и тут же закрывается) и комбинация win+shift+s перестает работать после первого использования после перезапуска пк.
    • GlibZabiv
      От GlibZabiv
      Здравствуйте, Касперский нашёл троян, который после лечения восстанавливается. Пытался бороться своими силами, ничего не вышло.
      CollectionLog-2024.10.20-18.37.zip
    • 4uvak
      От 4uvak
      Добрый день. вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память. Kaspersky TS лечение с перезагрузкой - не помогает. Прилагаю:
       
      1. логи FRST
      2. образ автозапуска системы в uVS
       
      Благодарю за помощь.
      HOME-PC_2024-11-10_03-57-00_v4.99.2v x64.7z Отчеты.rar
    • dkhilobok
      От dkhilobok
      Снова Камчатка: Долина Гейзеров с обратной стороны.

      Этим летом на Камчатке нам очень много что повезло. В том числе пройти по следам турмарштура №264, которые нас привели в Долину гейзеров.
       
      Обычно туристов водят по Долине по другой стороне ручья, мы же пришли ногами со стороны кальдеры Узон. Соответственно получилось взглянуть на ряд картинок, доступных в основном медведям.
       
      От кордона «Глухой» до Долины примерно 10-12км. Первую половину пути топать по прямой с небольшим набором высоты. Даже немного скучно Меньше, чем полтора часа в пути - и мы на перевале.
       
      В 2007г здесь сошел оползень, который засыпал большое количество гейзеров, перегородил реку дамбой и образовалось озеро.
      Потом река постепенно размыла дамбу, озеро исчезло, а вода продолжает промываться к старому руслу.
       
      Прошло время, засыпанные гейзеры и пульсирующие источники местами пробили нанесённый грунт и получились вот такие симпатичные котлы с подземным кипятком.

      Видео посмотреть на других платформах:
      https://dzen.ru/shorts/673f3f8359f0ad5be841082e?share_to=link
      https://vk.com/clip302262930_456239251
       
      v2 Долина Гейзеров.mp4
×
×
  • Создать...