[РЕШЕНО] MEM:Trojan.Win32.Cometer.gen

[grasper_v]

Добрый день!

Помогите пожалуйста удалить заразу.

При проверке при помощи KVRT находится MEM:Trojan.Win32.Cometer.gen
После удаления с перезагрузкой, через некоторое время (примерно от 1 до 5 часов) появляется снова.
Установленный KES 12.5 его так же находит, лечит, но вирус снова появляется.

Dr.Web CureIt! ничего не находит.

 

 Дополнительно прикрепляю логи проверки KES CollectionLog-2024.07.22-11.33.zip

KES_logs.txt

[Sandor]

Здравствуйте!

 

Похоже на ложное срабатывание. Создайте параллельно запрос в тех-поддержке.

 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

В системе также видны следы от других защитных решений

Цитата

 

ProSecure DCAgent

Symantec Backup Exec Remote Agent for Windows

 

Пользуетесь ими?

[grasper_v]

7 часов назад, Sandor сказал:

Похоже на ложное срабатывание.

К сожалению, логи собирал после лечения при помощи KVRT. Но инфицирование происходит после лечения все равно - через 1 - 5 часов.

 

7 часов назад, Sandor сказал:

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

ClearLNK-2024.07.22_19.30.18.log

 

7 часов назад, Sandor сказал:

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Готово:

FRST.txtAddition.txt

 

7 часов назад, Sandor сказал:

Пользуетесь ими?

ProSecure DCAgent - Уже нет
Symantec Backup Exec Remote Agent for Windows - Да, это агент сервера бэкапирования

Изменено 22 июля, 2024 пользователем grasper_v

[Sandor]

12 часов назад, grasper_v сказал:

ProSecure DCAgent - Уже нет

Значит нужно его деинсталлировать.

 

Плохого в логах не видно. Запрос в ТП создали?

Если да и есть ответ, сообщите кратко его здесь, пожалуйста.

[grasper_v]

Добрый день!

Разобрались.
Шла атака при помощи Intrusion.Win.MS17-010.o

Был выявлен и обезврежен источник, а так же, установлены апдейты безопасности.

 

Тему можно закрывать.

Спасибо!

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".