Перейти к содержанию
Правила раздела

MEM:Backdoor.Win32.Gulpix.gen + HEUR:Trojan.Multi.Misslink.a

Couita

Автор Couita
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Couita

Couita

Опубликовано
Опубликовано

Неизвестное заражение.
Обнаружено MEM:Backdoor.Win32.Gulpix.gen с помощью фоновой проверки (поиск руткитов) 
HEUR:Trojan.Multi.Misslink.a Обнаружено во время лечения активного заражения. 

CollectionLog-2025.05.27-14.24.zip

safety

safety

Опубликовано
Опубликовано

Добавьте, пожалуйста, отчет по обнаружению угроз и сканированию из антивируса Касперского.

+

Сделайте дополнительно образ автозапуска в uVS с отслеживанием процессов и задач:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

safety

safety

Опубликовано
Опубликовано

Образ автозапуска был создан после лечения обнаружения?

Сегодня, 27.05.2025 13:38:46    pmem:\C:\Program Files\Oracle\VirtualBox\VirtualBoxVM.exe    Вылечено    Объект вылечен    MEM:Backdoor.Win32.Gulpix.gen        Файл    pmem:\C:\Program Files\Oracle\VirtualBox    VirtualBoxVM.exe    Вылечено    Троянское приложение    Высокая    Точно    DESKTOP-FD8A06L\Admin    Активный пользователь

 

А после перезагрузки детект вновь обнаруживается? Нужен образ при активном процессе, чтобы определить источник внедрения вредоносного кода в данный процесс.

Couita

Couita

Опубликовано
  • Автор
Опубликовано

Образ автозапуска был создан после лечения обнаружения? - Да.
Антивирус очистил автозагрузки, пока неизвестно все равно что внедрило код, стоит ли использовать сейчас после лечения виртуальную машину?

safety

safety

Опубликовано
Опубликовано (изменено)

Код внедряется в память процесса, так что он находится только в памяти, на файлы виртуальной машины никак не влияет. uVS мог бы проанализировать цепочку запуска, если был бы активен процесс Virtulbox и выявить откуда внедряется код.

Если новых обнаружений нет, можно предположить что антивирус справился с очисткой.

Изменено пользователем safety
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Gaspi
      trojan:win64/disguisedxmrigminer
      Автор Gaspi
      Защита винды нашла его но не может его удалить, как избавиться от него? trojan:win64/disguisedxmrigminer
    • Kirill_Pavlov
      Самовосстанавливающиеся после удаления с помощью KVRT: HEUR:Trojan.Multi.GenBadur.genw и HEUR:HackTool.VBS.KeySender.gen
      Автор Kirill_Pavlov
      Первый вирус обнаружен после скачивания игры F1_2022 (уже удалил) с сайта ***. Второй, предположительно, после того как скачал атомик харт (тоже уже удалил), но сайт не помню точно. Удаляю с помощью KVRT, а после перезагрузки они опять появляются. Второй файл пытался удалить вручную, но видимо что-то не то сделал). Заранее большое спасибо!
      CollectionLog-2025.12.27-10.13.zip
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте ссылки на варез
    • A11
      Trojan.Win64.Torero.b
      Автор A11
      Здравствуйте, есть ли у кого-нибудь информация об этом трояне?
    • Malorym_Inqyy
      [РЕШЕНО] Троян в бесплатном впн
      Автор Malorym_Inqyy
      Здравствуйте, вчера скачал бесплатный впн, заметил, что в диспетчере появился процесс который грузит мой процессор, из-за чего компьютер стал сильно гудеть. Прошу помочь!
      CollectionLog-2025.12.05-14.31.zip
    • Георгий123
      MEM: Trojan-PSW.Win32. Mimikatz.gen и Backdoor.Win32.Gulpix.gen
      Автор Георгий123
      Здравствуйте, уважаемые эксперты. Прошу вашей помощи, так как сам уже не справляюсь. Ситуация запутанная
       
      Моя история и что я делал:
       
       У меня установлен антивирус Huorong Internet Security. Пару месяцев недель назад он начал обнаруживать и отправлять в карантин подозрительные файлы по пути вроде C:\Windows\System Temp\chrome_Unpacker_BeginUnzipping...\UpdaterSetup.exe. Они появлялись пачками по 3-4 файла 
      Сегодня я выключил интернет кабель по рекомендациям, запустил Kaspersky Virus Removal Tool (KVRT). Он нашёл трояны и я попытался вылечить угрозу: MEM:Backdoor.Win32.Gulpix.gen.
      После лечения и перезагрузки KVRT снова проверил систему и обнаружил уже ДРУГИЕ угрозы:
         · Trojan.Win32.Dorma.aeph — расположение: C:\Users\[Моё_Имя]\Downloads\CCleaner Soft download load.exe 
         · MEM:Trojan-PSW.Win32.Mimikatz.gen 
      Я пробовал лечить и эти угрозы через KVRT, но после перезагрузки ситуация повторяется: антивирус снова находит Mimikatz.
      После 3 проверки опять появился тот самый бэкдор..
      Интернет кабель ещё не включал я думаю что если я включу обратно или там перезагружу компьютер и начну им пользоваться то это все появится лбратно
      Прошу вас помочь! Буду очень благодарен, не разбираюсь особо в этом, но жалко компьютер.. 
       
×
×
  • Создать...