Перейти к содержанию

MEM:Trojan.Win64.Shellcode.gen помогите с удалением


Рекомендуемые сообщения

Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.

 

CollectionLog-2025.07.31-10.14.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Деинсталлируйте нежелательное ПО -> App Explorer

 

Антивирус RAV Endpoint Protection устанавливали самостоятельно? Если нет, тоже удалите.

После удаления перезагрузите компьютер.

 

11 минут назад, Jonnoton сказал:

Удалить с помощью не выходит KVRT

Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

 

Далее:

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Итого, жду четыре отчёта:

1. KVRT

2. ClearLNK

3. FRST.txt

4. Addition.txt

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Appexplorer не удаляется. Не находит uninstall  - видимо антивирус его уже испортил.

Check_Browser_Lnk.log в папке отсутсвует - есть только Check_Browser_Lnk.log(приложу с ним)

 

Reports.rar ClearLNK-2025.07.31_11.25.26.log Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

13 минут назад, Jonnoton сказал:

Appexplorer не удаляется

Тогда удалите принудительно с помощью Geek Uninstaller (правой кнопкой на соотв. строке).

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    Task: {B7647322-9A8D-453B-8C10-7384BF5FD2CB} - System32\Tasks\App Explorer => C:\Users\Games\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [9793520 2025-06-30] (SweetLabs Inc -> SweetLabs, Inc) <==== ВНИМАНИЕ
    File: C:\Users\Games\AppData\Local\PeachPuff_4.pfx
    Task: {6EDE1B0A-1030-44A9-95C3-6E67FC060E83} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem127.0.2996.86.{3CF5D1C4-BF2D-4B94-AB85-FF164457327C} => C:\Windows\system32\regsvr32.exe [118784 2025-07-09] (Microsoft Windows -> Microsoft Corporation) -> /s /i:googlechromebusiness.msi "\\?\C:\Users\Games\AppData\Local\PeachPuff_4.pfx" <==== ВНИМАНИЕ
    C:\Users\Games\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gbfkgpanibikopbemckieakpdlfhihhf
    C:\Users\Games\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\kldpfdjihdmplliinmdphfclpojmkopl
    C:\Users\Games\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\kodfedgpnejhhhdkaedfkpkenopmbiog
    C:\Users\Games\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\mgibkgnmlgpibeallllpcbodkjjngcpl
    2025-07-02 07:54 - 2025-07-17 05:10 - 000000599 _____ () C:\Users\Games\setup.dat
    2025-07-17 21:02 - 2025-07-17 21:02 - 006405752 _____ () C:\Users\Games\AppData\Local\PeachPuff_4.pfx
    FirewallRules: [{AE97745C-609F-4967-BB73-5E177838471B}] => (Allow) C:\Users\Games\AppData\Local\Programs\Opera\opera.exe => Нет файла
    FirewallRules: [{03D4DD3E-4801-4B29-AE50-970E62F4F7FB}] => (Allow) C:\Users\Games\AppData\Local\proxy-sdk\proxy-sdk.exe => Нет файла
    FirewallRules: [{7F2B8E19-4136-404F-AC10-3D46B16688AE}] => (Allow) C:\Users\Games\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{0185FAD5-F749-4713-B039-BEBCFAA9AF38}] => (Allow) C:\Users\Games\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{0DE6A82B-5819-4BF6-B86B-66400BF6BA9A}] => (Allow) C:\Users\Games\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{5773C836-2203-41F9-85F5-3AA0C69B9AB3}] => (Allow) C:\Users\Games\MediaGet2\mediaget.exe => Нет файла
    Zip: c:\FRST\Quarantine\
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

(Или прикрепите к следующему сообщению, постараюсь быстро убрать).

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

11 минут назад, Jonnoton сказал:

Отправил вам архив

Проверьте, пожалуйста, ушло ли успешно письмо. Пока не получил.

Или продублируйте здесь, прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

По-прежнему нет. Залейте его на файлообменник (возможно предварительно ещё раз упакуйте с паролем) и дайте ссылку на скачивание.

Ссылка на комментарий
Поделиться на другие сайты

Проверяю антивирусом. Старые вордовские документы, увы, не открываются. А так, вроде бы, новые перестал портить.

Вирусов больше нет -спасибо большое за помощь!

Ссылка на комментарий
Поделиться на другие сайты

Хорошо. В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

41 минуту назад, Jonnoton сказал:

Старые вордовские документы, увы, не открываются

Вы об этом даже и не упоминали. По крайней мере становится понятно, что является возможной причиной.

 

И еще кое-что

Цитата

2025-07-30 17:41 - 2025-07-29 00:46 - 004369555 _____ C:\WINDOWS\WinMonitor.zip
2025-07-30 17:41 - 2025-07-29 00:45 - 007527718 _____ C:\WINDOWS\RunWin.zip
2025-07-30 17:41 - 2005-05-21 17:02 - 914338816 _____ (Microsoft Corporation) C:\WINDOWS\RunWin.exe

2025-07-30 17:40 - 2025-07-30 17:40 - 014676633 _____ C:\Users\Games\Downloads\x_Installers.zip

Происхождение этих файлов Вам известно?

Ссылка на комментарий
Поделиться на другие сайты

Нет, удалить их вручную?

А так да -причиной проверок стали вордовские файлы, которые перестали открываться и не восстанавливались через возможные сервисы восстановления. Я испугался что шифровальщик, но вроде бы нет

Изменено пользователем Jonnoton
Ссылка на комментарий
Поделиться на другие сайты

17 минут назад, Jonnoton сказал:

удалить их вручную?

Заархивируйте их вместе с файлом C:\WINDOWS\wireguard_orig.exe с паролем malware123, выложите на обменник и пришлите ссылку на скачивание.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • croc_gon
      Автор croc_gon
      Всем привет проблема следующая каспер постоянно ругается на вирус во временной памяти и не удаляет 
       
      Тип события: Лечение невозможно
      Тип приложения: Kaspersky Endpoint Security для Windows
      Название: avp.exe
      Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.8.0
      ID процесса: 18446744073709551615
      Описание результата: Не обработано
      Тип: Троянское приложение
      Название: MEM:Trojan.Win64.ModPlayer.gen
      Пользователь: GONETS\i.zazvonov (Активный пользователь)
      Объект: pmem:\C:\Windows\System32\svchost.exe
      Причина: Пропущено
    • Вадим_АнтиВирус
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • Xistoner
      Автор Xistoner
      Проверил систему через dr.web, удалил. После перезапуска системы опять появляется и работает.
      Прикрепил логи AutoLogger
      CollectionLog-2025.06.26-18.43.zip
    • w0r9en
      Автор w0r9en
      Добрый день! Нашел и обезвредил с помощь cureit, потом сделал лог CollectionLog-2025.07.13-15.39.zip
    • Amgasan
      Автор Amgasan
      Обнаружил загрузку ГП на но утбуке, при проверке DoctorWeb CureIt выдало Tool.btcmine.2794, после перезагрузки снова восстанавливается как файл WinServiceNetworking.exe. 
      CollectionLog-2025.06.17-21.00.zip
×
×
  • Создать...