Перейти к содержанию
Правила раздела

Вирус MEM:Trojan.Win64.ModPlayer.gen

croc_gon

Автор croc_gon
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

croc_gon

croc_gon

Опубликовано
Опубликовано

Всем привет проблема следующая каспер постоянно ругается на вирус во временной памяти и не удаляет 

 

Тип события: Лечение невозможно
Тип приложения: Kaspersky Endpoint Security для Windows
Название: avp.exe
Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.8.0
ID процесса: 18446744073709551615
Описание результата: Не обработано
Тип: Троянское приложение
Название: MEM:Trojan.Win64.ModPlayer.gen
Пользователь: GONETS\i.zazvonov (Активный пользователь)
Объект: pmem:\C:\Windows\System32\svchost.exe
Причина: Пропущено

Sandor

Sandor

Опубликовано
Опубликовано

Пока явных признаков заражения не видно.

Я правильно понимаю, что подключение через RDP к этому компьютеру настроено вами самостоятельно?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

safety

safety

Опубликовано
Опубликовано

Можете добавить отчеты по обнаружению и сканированию из антивируса Касперского?

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

Тип события: Лечение невозможно Тип приложения: Kaspersky Endpoint Security для Windows Название: avp.exe Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.8.0 ID процесса: 18446744073709551615 Описание результата: Не обработано Тип: Троянское приложение Название: MEM:Trojan.Win64.ModPlayer.gen Пользователь: GONETS\i.zazvonov (Активный пользователь) Объект: pmem:\C:\Windows\System32\svchost.exe Причина: Лечение невозможно

 

Сделайте дополнительно образ автозапуска в uVS с отслеживанием процессов и задач:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

 

Изменено пользователем safety
  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)

Что есть в образе:

(!) Процесс нагружает CPU: C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5676

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SMARTSCREEN.EXE [4836], tid=10572

-----------------------------

C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

это Kaspersky Virus Removal Tool.exe

 

образ сейчас проверю, напишем скрипт очистки.

Изменено пользователем safety
croc_gon

croc_gon

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:
7 минут назад, safety сказал:

Что есть в образе:

(!) Процесс нагружает CPU: C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5676

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SMARTSCREEN.EXE [4836], tid=10572

-----------------------------

C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

это Kaspersky Virus Removal Tool.exe

 

образ сейчас проверю, напишем скрипт очистки.

 

Kaspersky Virus Removal Tool.exe щас пытаюсь им очистить данный вирус 

Sandor

Sandor

Опубликовано
Опубликовано

Не нужно, подождите некоторое время.

safety

safety

Опубликовано
Опубликовано (изменено)

 

Полное имя                  C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE] Фильтр
                            
Удовлетворяет критериям     
THREADS IN PROCESSES        (ПРЕДУПРЕЖДЕНИЕ ~ ОБНАРУЖЕН ВНЕДРЕННЫЙ ПОТОК В ПРОЦЕССЕ)(1) [filtered (0)]
pid = 14708                 NT AUTHORITY\СИСТЕМА
  CmdLine                   C:\Windows\System32\svchost.exe -k netsvcs -p -s BDESVC
  Процесс создан            14:07:58 [2025.05.20]
  С момента создания        00:02:50
  CPU                       0,01%
  CPU (1 core)              0,04%
  parentid = 932            C:\WINDOWS\SYSTEM32\SERVICES.EXE
Предупреждение              (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5676
Предупреждение              (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5680

 

 

BDESVC  - это служба связанная с Bitlocker

 

и

 

image.png

 

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Пока непонятно что с этим делать.

croc_gon

croc_gon

Опубликовано
  • Автор
Опубликовано

вот мы тоже понять не можем что с этим чудом делать 

5 минут назад, safety сказал:

Пока непонятно что с этим делать.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Jonnoton
      MEM:Trojan.Win64.Shellcode.gen помогите с удалением
      Автор Jonnoton
      Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
       
      CollectionLog-2025.07.31-10.14.zip
    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • Alexoon
      вирус powershell
      Автор Alexoon
      Подхватил какой-то вирус с почты. Постоянно открывается powershell и браузеры, т.е. по 5 раз в секунду
       
      Антивирусы ни один его не видят
      CollectionLog-2025.08.22-16.02.zip
    • monstr878
      Непонятный вирус!
      Автор monstr878
      Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская
      бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений,
      При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось.
      Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено.
      Подскажите пожалуйста что это может быть и как это решить?
    • LexaSLX
      Вирус-шифровальщик, вымогатель
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
×
×
  • Создать...