Перейти к содержанию

[РЕШЕНО] mem:backdoor.win32.insistent.gen после лечения с перезапуском снова обнаруживается.


Рекомендуемые сообщения

Никаких ручных удалений больше не выполнять. Ждите скрипт от коллеги.

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 31
  • Created
  • Последний ответ

Top Posters In This Topic

  • Winlin

    14

  • safety

    13

  • thyrex

    3

  • Mark D. Pearlstone

    2

Top Posters In This Topic

Popular Posts

Строгое предупреждение от модератора thyrex Повторяю еще раз для непонятливых: никаких самостоятельных действий. Либо тему просто закроем   Ждем выполнения написанного в

Выполняем очистку системы в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.


 

;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
;---------command-block---------
delall %SystemRoot%\SYSWOW64\MOBSYNC.DLL
delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\BF5FEC3D9E46\851F9C0816.MSI
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMLMEKGIEFHNGCMOOBPNKOMDFGLJEPODF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

restart
czoo

После перезагрузки:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

Далее,

 

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Загрузите в ваше сообщение файлы FRST.txt, Addition.txt

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

"RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_8b98b4\Parameters','ServiceDll','x64');

удалил

c:\windows\SysWOW64\mobsync.dll удалил

 

после этого при перезагрузке Вирус больше не детектируется.

 

PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
 %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\BF5FEC3D9E46\851F9C0816.MSI

это уже раньше до обращения удалил

Изменено пользователем Winlin
Ссылка на сообщение
Поделиться на другие сайты
6 minutes ago, Winlin said:

Название: MEM:Backdoor.Win32.Insistent.gen

возможно, это детект на активность syswow64/svchost.exe через которую загружается mobsync.dll

Ссылка на сообщение
Поделиться на другие сайты
Строгое предупреждение от модератора thyrex
Повторяю еще раз для непонятливых: никаких самостоятельных действий. Либо тему просто закроем

 

Ждем выполнения написанного выше.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
2 minutes ago, Winlin said:

это уже раньше до обращения удалил

хорошо, сейчас надо выполнить скрипт в uVS, и после перезагрузки сделать логи FRST, по логам FRST посмотрим, что осталось. Или не осталось.

Ссылка на сообщение
Поделиться на другие сайты
12 минут назад, safety сказал:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

папка пуста, что логично. файлы то я удалял раньше.

Ссылка на сообщение
Поделиться на другие сайты

сейчас ваша задача выполнить скрипт в uVS  и действовать строго по шагам, описанным в рекомендации:

дублирую еще раз сообщение:

 

Выполняем очистку системы в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.

 

скрипт ниже:

;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
;---------command-block---------
delall %SystemRoot%\SYSWOW64\MOBSYNC.DLL
delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\BF5FEC3D9E46\851F9C0816.MSI
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMLMEKGIEFHNGCMOOBPNKOMDFGLJEPODF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

restart
czoo

После перезагрузки:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

Далее,

 

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Загрузите в ваше сообщение файлы FRST.txt, Addition.txt

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

Start::
2024-05-13 15:18 - 2024-05-13 15:18 - 000000000 ____D C:\ProgramData\CloudSecure-18de2eec-220c-4db6-aaba-da309839044f
2024-05-13 15:17 - 2024-05-13 15:17 - 000000048 _____ C:\Users\admin\Desktop\CloudSecure-18de2eec-220c-4db6-aaba-da309839044f.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Ссылка на сообщение
Поделиться на другие сайты
C:\ProgramData\CloudSecure-18de2eec-220c-4db6-aaba-da309839044f

 

папка пуста. еще до обращения она возникала после удаления при перезагрузке.

я ее удалил , создал пустую с тем же именем и запретил у админа и систему запись в нее.

 

скрипт запускаю

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

×
×
  • Создать...