Перейти к содержанию

[РЕШЕНО] mem:backdoor.win32.insistent.gen после лечения с перезапуском снова обнаруживается.


Рекомендуемые сообщения

Выполняем очистку системы в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.


 

;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
;---------command-block---------
delall %SystemRoot%\SYSWOW64\MOBSYNC.DLL
delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\BF5FEC3D9E46\851F9C0816.MSI
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMLMEKGIEFHNGCMOOBPNKOMDFGLJEPODF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

restart
czoo

После перезагрузки:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

Далее,

 

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Загрузите в ваше сообщение файлы FRST.txt, Addition.txt

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

"RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_8b98b4\Parameters','ServiceDll','x64');

удалил

c:\windows\SysWOW64\mobsync.dll удалил

 

после этого при перезагрузке Вирус больше не детектируется.

 

PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
 %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\BF5FEC3D9E46\851F9C0816.MSI

это уже раньше до обращения удалил

Изменено пользователем Winlin
Ссылка на комментарий
Поделиться на другие сайты

6 minutes ago, Winlin said:

Название: MEM:Backdoor.Win32.Insistent.gen

возможно, это детект на активность syswow64/svchost.exe через которую загружается mobsync.dll

Ссылка на комментарий
Поделиться на другие сайты

Строгое предупреждение от модератора thyrex
Повторяю еще раз для непонятливых: никаких самостоятельных действий. Либо тему просто закроем

 

Ждем выполнения написанного выше.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

2 minutes ago, Winlin said:

это уже раньше до обращения удалил

хорошо, сейчас надо выполнить скрипт в uVS, и после перезагрузки сделать логи FRST, по логам FRST посмотрим, что осталось. Или не осталось.

Ссылка на комментарий
Поделиться на другие сайты

12 минут назад, safety сказал:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

папка пуста, что логично. файлы то я удалял раньше.

Ссылка на комментарий
Поделиться на другие сайты

сейчас ваша задача выполнить скрипт в uVS  и действовать строго по шагам, описанным в рекомендации:

дублирую еще раз сообщение:

 

Выполняем очистку системы в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.

 

скрипт ниже:

;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
;---------command-block---------
delall %SystemRoot%\SYSWOW64\MOBSYNC.DLL
delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\BF5FEC3D9E46\851F9C0816.MSI
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMLMEKGIEFHNGCMOOBPNKOMDFGLJEPODF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

restart
czoo

После перезагрузки:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

Далее,

 

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Загрузите в ваше сообщение файлы FRST.txt, Addition.txt

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

Start::
2024-05-13 15:18 - 2024-05-13 15:18 - 000000000 ____D C:\ProgramData\CloudSecure-18de2eec-220c-4db6-aaba-da309839044f
2024-05-13 15:17 - 2024-05-13 15:17 - 000000048 _____ C:\Users\admin\Desktop\CloudSecure-18de2eec-220c-4db6-aaba-da309839044f.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Ссылка на комментарий
Поделиться на другие сайты

C:\ProgramData\CloudSecure-18de2eec-220c-4db6-aaba-da309839044f

 

папка пуста. еще до обращения она возникала после удаления при перезагрузке.

я ее удалил , создал пустую с тем же именем и запретил у админа и систему запись в нее.

 

скрипт запускаю

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Magashmug
      От Magashmug
      Здравствуйте, после перезагрузки опять появляется вирус, вот мой файл.
      CollectionLog-2024.10.15-18.27.zip
    • Gillox
      От Gillox
      При игре в Тарков, а так же просто использовании пк без нагрузки время от времени крашется система. Думаю, подцепил майнер. Выдает синие экраны, либо пк просто перезагружается с черным экраном. Коды ошибок: 
      Memory_Management System Thread Exception not handled System Service Exception (Что вызвало проблему: Ntfs.sys) Kernel_Mode Heap Corruption CollectionLog-2024.11.04-18.56.zip
       
      Так же перестала работать панель уведомлений справа (при открытии она полностью пустая без значков и тут же закрывается) и комбинация win+shift+s перестает работать после первого использования после перезапуска пк.
    • GlibZabiv
      От GlibZabiv
      Здравствуйте, Касперский нашёл троян, который после лечения восстанавливается. Пытался бороться своими силами, ничего не вышло.
      CollectionLog-2024.10.20-18.37.zip
    • 4uvak
      От 4uvak
      Добрый день. вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память. Kaspersky TS лечение с перезагрузкой - не помогает. Прилагаю:
       
      1. логи FRST
      2. образ автозапуска системы в uVS
       
      Благодарю за помощь.
      HOME-PC_2024-11-10_03-57-00_v4.99.2v x64.7z Отчеты.rar
    • Svejhiy
      От Svejhiy
      Проникся чувством ностальгии и решил скачать одну игрушку, а в ней троян был
      Игрушку удалил, лечение сделал, думал дело в шляпе, но вирус возвращается снова и снова после каждой перезагрузки
      Логи прикрепил
      CollectionLog-2024.10.22-18.04.zip
×
×
  • Создать...