Перейти к содержанию
Правила раздела

Вирус MEM:Trojan.Win64.ModPlayer.gen

croc_gon

Автор croc_gon
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

croc_gon

croc_gon

Опубликовано
Опубликовано

Всем привет проблема следующая каспер постоянно ругается на вирус во временной памяти и не удаляет 

 

Тип события: Лечение невозможно
Тип приложения: Kaspersky Endpoint Security для Windows
Название: avp.exe
Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.8.0
ID процесса: 18446744073709551615
Описание результата: Не обработано
Тип: Троянское приложение
Название: MEM:Trojan.Win64.ModPlayer.gen
Пользователь: GONETS\i.zazvonov (Активный пользователь)
Объект: pmem:\C:\Windows\System32\svchost.exe
Причина: Пропущено

Sandor

Sandor

Опубликовано
Опубликовано

Пока явных признаков заражения не видно.

Я правильно понимаю, что подключение через RDP к этому компьютеру настроено вами самостоятельно?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

safety

safety

Опубликовано
Опубликовано

Можете добавить отчеты по обнаружению и сканированию из антивируса Касперского?

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

Тип события: Лечение невозможно Тип приложения: Kaspersky Endpoint Security для Windows Название: avp.exe Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.8.0 ID процесса: 18446744073709551615 Описание результата: Не обработано Тип: Троянское приложение Название: MEM:Trojan.Win64.ModPlayer.gen Пользователь: GONETS\i.zazvonov (Активный пользователь) Объект: pmem:\C:\Windows\System32\svchost.exe Причина: Лечение невозможно

 

Сделайте дополнительно образ автозапуска в uVS с отслеживанием процессов и задач:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

 

Изменено пользователем safety
  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)

Что есть в образе:

(!) Процесс нагружает CPU: C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5676

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SMARTSCREEN.EXE [4836], tid=10572

-----------------------------

C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

это Kaspersky Virus Removal Tool.exe

 

образ сейчас проверю, напишем скрипт очистки.

Изменено пользователем safety
croc_gon

croc_gon

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:
7 минут назад, safety сказал:

Что есть в образе:

(!) Процесс нагружает CPU: C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5676

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SMARTSCREEN.EXE [4836], tid=10572

-----------------------------

C:\USERS\I.ZAZVONOV\APPDATA\LOCAL\TEMP\{9BD023CE-36DD-412C-92DB-F4B6BBBC0B3D}\386A2432.EXE

это Kaspersky Virus Removal Tool.exe

 

образ сейчас проверю, напишем скрипт очистки.

 

Kaspersky Virus Removal Tool.exe щас пытаюсь им очистить данный вирус 

Sandor

Sandor

Опубликовано
Опубликовано

Не нужно, подождите некоторое время.

safety

safety

Опубликовано
Опубликовано (изменено)

 

Полное имя                  C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 АКТИВНЫЙ ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE] Фильтр
                            
Удовлетворяет критериям     
THREADS IN PROCESSES        (ПРЕДУПРЕЖДЕНИЕ ~ ОБНАРУЖЕН ВНЕДРЕННЫЙ ПОТОК В ПРОЦЕССЕ)(1) [filtered (0)]
pid = 14708                 NT AUTHORITY\СИСТЕМА
  CmdLine                   C:\Windows\System32\svchost.exe -k netsvcs -p -s BDESVC
  Процесс создан            14:07:58 [2025.05.20]
  С момента создания        00:02:50
  CPU                       0,01%
  CPU (1 core)              0,04%
  parentid = 932            C:\WINDOWS\SYSTEM32\SERVICES.EXE
Предупреждение              (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5676
Предупреждение              (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [776], tid=5680

 

 

BDESVC  - это служба связанная с Bitlocker

 

и

 

image.png

 

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Пока непонятно что с этим делать.

croc_gon

croc_gon

Опубликовано
  • Автор
Опубликовано

вот мы тоже понять не можем что с этим чудом делать 

5 минут назад, safety сказал:

Пока непонятно что с этим делать.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...