MEM:Backdoor.Win32.Gulpix.gen + HEUR:Trojan.Multi.Misslink.a

[Couita]

Неизвестное заражение.
Обнаружено MEM:Backdoor.Win32.Gulpix.gen с помощью фоновой проверки (поиск руткитов) 
HEUR:Trojan.Multi.Misslink.a Обнаружено во время лечения активного заражения. 

CollectionLog-2025.05.27-14.24.zip

[safety]

Добавьте, пожалуйста, отчет по обнаружению угроз и сканированию из антивируса Касперского.

+

Сделайте дополнительно образ автозапуска в uVS с отслеживанием процессов и задач:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

[Couita]

DESKTOP-FD8A06L_2025-05-27_15-16-25_v5.0.RC2.v x64.7z Otchet.7z

[safety]

Образ автозапуска был создан после лечения обнаружения?

Сегодня, 27.05.2025 13:38:46    pmem:\C:\Program Files\Oracle\VirtualBox\VirtualBoxVM.exe    Вылечено    Объект вылечен    MEM:Backdoor.Win32.Gulpix.gen        Файл    pmem:\C:\Program Files\Oracle\VirtualBox    VirtualBoxVM.exe    Вылечено    Троянское приложение    Высокая    Точно    DESKTOP-FD8A06L\Admin    Активный пользователь

 

А после перезагрузки детект вновь обнаруживается? Нужен образ при активном процессе, чтобы определить источник внедрения вредоносного кода в данный процесс.

[Couita]

Образ автозапуска был создан после лечения обнаружения? - Да.
Антивирус очистил автозагрузки, пока неизвестно все равно что внедрило код, стоит ли использовать сейчас после лечения виртуальную машину?

[safety]

Код внедряется в память процесса, так что он находится только в памяти, на файлы виртуальной машины никак не влияет. uVS мог бы проанализировать цепочку запуска, если был бы активен процесс Virtulbox и выявить откуда внедряется код.

Если новых обнаружений нет, можно предположить что антивирус справился с очисткой.

Изменено 27 мая, 2025 пользователем safety