Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Всем привет проблема следующая каспер постоянно ругается на вирус во временной памяти и не удаляет 

 

Тип события: Лечение невозможно
Тип приложения: Kaspersky Endpoint Security для Windows
Название: avp.exe
Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.8.0
ID процесса: 18446744073709551615
Описание результата: Не обработано
Тип: Троянское приложение
Название: MEM:Trojan.Win64.ModPlayer.gen
Пользователь: GONETS\i.zazvonov (Активный пользователь)
Объект: pmem:\C:\Windows\System32\svchost.exe
Причина: Пропущено

Опубликовано

Пока явных признаков заражения не видно.

Я правильно понимаю, что подключение через RDP к этому компьютеру настроено вами самостоятельно?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Опубликовано

Можете добавить отчеты по обнаружению и сканированию из антивируса Касперского?

Опубликовано (изменено)
Цитата

Тип события: Лечение невозможно Тип приложения: Kaspersky Endpoint Security для Windows Название: avp.exe Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.8.0 ID процесса: 18446744073709551615 Описание результата: Не обработано Тип: Троянское приложение Название: MEM:Trojan.Win64.ModPlayer.gen Пользователь: GONETS\i.zazvonov (Активный пользователь) Объект: pmem:\C:\Windows\System32\svchost.exe Причина: Лечение невозможно

 

Сделайте дополнительно образ автозапуска в uVS с отслеживанием процессов и задач:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

 

Изменено пользователем safety
  • Like (+1) 1
Опубликовано (изменено)

Что есть в образе:

(!) Процесс нагружает CPU: C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5676

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SMARTSCREEN.EXE [4836], tid=10572

-----------------------------

C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

это Kaspersky Virus Removal Tool.exe

 

образ сейчас проверю, напишем скрипт очистки.

Изменено пользователем safety
Опубликовано
2 часа назад, Sandor сказал:
7 минут назад, safety сказал:

Что есть в образе:

(!) Процесс нагружает CPU: C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5676

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SMARTSCREEN.EXE [4836], tid=10572

-----------------------------

C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

это Kaspersky Virus Removal Tool.exe

 

образ сейчас проверю, напишем скрипт очистки.

 

Kaspersky Virus Removal Tool.exe щас пытаюсь им очистить данный вирус 

Опубликовано

Не нужно, подождите некоторое время.

Опубликовано (изменено)

 

Полное имя                  C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE] Фильтр
                            
Удовлетворяет критериям     
THREADS IN PROCESSES        (ПРЕДУПРЕЖДЕНИЕ ~ ОБНАРУЖЕН ВНЕДРЕННЫЙ ПОТОК В ПРОЦЕССЕ)(1) [filtered (0)]
pid = 14708                 NT AUTHORITY\СИСТЕМА
  CmdLine                   C:\Windows\System32\svchost.exe -k netsvcs -p -s BDESVC
  Процесс создан            14:07:58 [2025.05.20]
  С момента создания        00:02:50
  CPU                       0,01%
  CPU (1 core)              0,04%
  parentid = 932            C:\WINDOWS\SYSTEM32\SERVICES.EXE
Предупреждение              (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5676
Предупреждение              (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5680

 

 

BDESVC  - это служба связанная с Bitlocker

 

и

 

image.png

 

 

Изменено пользователем safety
Опубликовано

Пока непонятно что с этим делать.

Опубликовано

вот мы тоже понять не можем что с этим чудом делать 

5 минут назад, safety сказал:

Пока непонятно что с этим делать.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Jonnoton
      Автор Jonnoton
      Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
       
      CollectionLog-2025.07.31-10.14.zip
    • farguskz
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • Alexoon
      Автор Alexoon
      Подхватил какой-то вирус с почты. Постоянно открывается powershell и браузеры, т.е. по 5 раз в секунду
       
      Антивирусы ни один его не видят
      CollectionLog-2025.08.22-16.02.zip
    • monstr878
      Автор monstr878
      Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская
      бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений,
      При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось.
      Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено.
      Подскажите пожалуйста что это может быть и как это решить?
    • LexaSLX
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
×
×
  • Создать...