Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус MEM:Trojan.Win64.ModPlayer.gen

croc_gon

Автор croc_gon
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

croc_gon

croc_gon

Опубликовано
Опубликовано

Всем привет проблема следующая каспер постоянно ругается на вирус во временной памяти и не удаляет 

 

Тип события: Лечение невозможно
Тип приложения: Kaspersky Endpoint Security для Windows
Название: avp.exe
Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.8.0
ID процесса: 18446744073709551615
Описание результата: Не обработано
Тип: Троянское приложение
Название: MEM:Trojan.Win64.ModPlayer.gen
Пользователь: GONETS\i.zazvonov (Активный пользователь)
Объект: pmem:\C:\Windows\System32\svchost.exe
Причина: Пропущено

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Пока явных признаков заражения не видно.

Я правильно понимаю, что подключение через RDP к этому компьютеру настроено вами самостоятельно?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

Тип события: Лечение невозможно Тип приложения: Kaspersky Endpoint Security для Windows Название: avp.exe Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.8.0 ID процесса: 18446744073709551615 Описание результата: Не обработано Тип: Троянское приложение Название: MEM:Trojan.Win64.ModPlayer.gen Пользователь: GONETS\i.zazvonov (Активный пользователь) Объект: pmem:\C:\Windows\System32\svchost.exe Причина: Лечение невозможно

 

Сделайте дополнительно образ автозапуска в uVS с отслеживанием процессов и задач:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

 

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Что есть в образе:

(!) Процесс нагружает CPU: C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5676

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SMARTSCREEN.EXE [4836], tid=10572

-----------------------------

C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

это Kaspersky Virus Removal Tool.exe

 

образ сейчас проверю, напишем скрипт очистки.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
croc_gon

croc_gon

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:
7 минут назад, safety сказал:

Что есть в образе:

(!) Процесс нагружает CPU: C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5676

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SMARTSCREEN.EXE [4836], tid=10572

-----------------------------

C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

это Kaspersky Virus Removal Tool.exe

 

образ сейчас проверю, напишем скрипт очистки.

 

Kaspersky Virus Removal Tool.exe щас пытаюсь им очистить данный вирус 

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

 

Полное имя                  C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE] Фильтр
                            
Удовлетворяет критериям     
THREADS IN PROCESSES        (ПРЕДУПРЕЖДЕНИЕ ~ ОБНАРУЖЕН ВНЕДРЕННЫЙ ПОТОК В ПРОЦЕССЕ)(1) [filtered (0)]
pid = 14708                 NT AUTHORITY\СИСТЕМА
  CmdLine                   C:\Windows\System32\svchost.exe -k netsvcs -p -s BDESVC
  Процесс создан            14:07:58 [2025.05.20]
  С момента создания        00:02:50
  CPU                       0,01%
  CPU (1 core)              0,04%
  parentid = 932            C:\WINDOWS\SYSTEM32\SERVICES.EXE
Предупреждение              (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5676
Предупреждение              (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5680

 

 

BDESVC  - это служба связанная с Bitlocker

 

и

 

image.png

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Jonnoton
      MEM:Trojan.Win64.Shellcode.gen помогите с удалением
      Автор Jonnoton
      Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
       
      CollectionLog-2025.07.31-10.14.zip
    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...