MEM:Trojan.Win64.Shellcode.gen помогите с удалением

[Jonnoton]

Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.

 

CollectionLog-2025.07.31-10.14.zip

[Sandor]

Здравствуйте!

 

Деинсталлируйте нежелательное ПО -> App Explorer

 

Антивирус RAV Endpoint Protection устанавливали самостоятельно? Если нет, тоже удалите.

После удаления перезагрузите компьютер.

 

11 минут назад, Jonnoton сказал:

Удалить с помощью не выходит KVRT

Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

 

Далее:

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Итого, жду четыре отчёта:

1. KVRT

2. ClearLNK

3. FRST.txt

4. Addition.txt

[Jonnoton]

Appexplorer не удаляется. Не находит uninstall  - видимо антивирус его уже испортил.

Check_Browser_Lnk.log в папке отсутсвует - есть только Check_Browser_Lnk.log(приложу с ним)

 

Reports.rar ClearLNK-2025.07.31_11.25.26.log Addition.txt FRST.txt

[Sandor]

13 минут назад, Jonnoton сказал:

Appexplorer не удаляется

Тогда удалите принудительно с помощью Geek Uninstaller (правой кнопкой на соотв. строке).

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {B7647322-9A8D-453B-8C10-7384BF5FD2CB} - System32\Tasks\App Explorer => C:\Users\Games\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [9793520 2025-06-30] (SweetLabs Inc -> SweetLabs, Inc) <==== ВНИМАНИЕ
  File: C:\Users\Games\AppData\Local\PeachPuff_4.pfx
  Task: {6EDE1B0A-1030-44A9-95C3-6E67FC060E83} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem127.0.2996.86.{3CF5D1C4-BF2D-4B94-AB85-FF164457327C} => C:\Windows\system32\regsvr32.exe [118784 2025-07-09] (Microsoft Windows -> Microsoft Corporation) -> /s /i:googlechromebusiness.msi "\\?\C:\Users\Games\AppData\Local\PeachPuff_4.pfx" <==== ВНИМАНИЕ
  C:\Users\Games\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gbfkgpanibikopbemckieakpdlfhihhf
  C:\Users\Games\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\kldpfdjihdmplliinmdphfclpojmkopl
  C:\Users\Games\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\kodfedgpnejhhhdkaedfkpkenopmbiog
  C:\Users\Games\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\mgibkgnmlgpibeallllpcbodkjjngcpl
  2025-07-02 07:54 - 2025-07-17 05:10 - 000000599 _____ () C:\Users\Games\setup.dat
  2025-07-17 21:02 - 2025-07-17 21:02 - 006405752 _____ () C:\Users\Games\AppData\Local\PeachPuff_4.pfx
  FirewallRules: [{AE97745C-609F-4967-BB73-5E177838471B}] => (Allow) C:\Users\Games\AppData\Local\Programs\Opera\opera.exe => Нет файла
  FirewallRules: [{03D4DD3E-4801-4B29-AE50-970E62F4F7FB}] => (Allow) C:\Users\Games\AppData\Local\proxy-sdk\proxy-sdk.exe => Нет файла
  FirewallRules: [{7F2B8E19-4136-404F-AC10-3D46B16688AE}] => (Allow) C:\Users\Games\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{0185FAD5-F749-4713-B039-BEBCFAA9AF38}] => (Allow) C:\Users\Games\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{0DE6A82B-5819-4BF6-B86B-66400BF6BA9A}] => (Allow) C:\Users\Games\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{5773C836-2203-41F9-85F5-3AA0C69B9AB3}] => (Allow) C:\Users\Games\MediaGet2\mediaget.exe => Нет файла
  Zip: c:\FRST\Quarantine\
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

(Или прикрепите к следующему сообщению, постараюсь быстро убрать).

Подробнее читайте в этом руководстве.

[Jonnoton]

удалил, выполнил скрипт. Отправил вам архив и фикслог.

Fixlog.txt

[Sandor]

11 минут назад, Jonnoton сказал:

Отправил вам архив

Проверьте, пожалуйста, ушло ли успешно письмо. Пока не получил.

Или продублируйте здесь, прикрепите к следующему сообщению.

[Jonnoton]

да, не ушло. Переотправил

[Sandor]

По-прежнему нет. Залейте его на файлообменник (возможно предварительно ещё раз упакуйте с паролем) и дайте ссылку на скачивание.

[Jonnoton]

И опять не ушло- залил в облако:
[ссылка]

Изменено 31 июля, 2025 пользователем Sandor
Убрал ссылку

[Sandor]

Файл получил, спасибо!

 

Как себя сейчас ведёт система?

[Jonnoton]

Проверяю антивирусом. Старые вордовские документы, увы, не открываются. А так, вроде бы, новые перестал портить.

Вирусов больше нет -спасибо большое за помощь!

[Sandor]

Хорошо. В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[thyrex]

41 минуту назад, Jonnoton сказал:

Старые вордовские документы, увы, не открываются

Вы об этом даже и не упоминали. По крайней мере становится понятно, что является возможной причиной.

 

И еще кое-что

Цитата

2025-07-30 17:41 - 2025-07-29 00:46 - 004369555 _____ C:\WINDOWS\WinMonitor.zip
2025-07-30 17:41 - 2025-07-29 00:45 - 007527718 _____ C:\WINDOWS\RunWin.zip
2025-07-30 17:41 - 2005-05-21 17:02 - 914338816 _____ (Microsoft Corporation) C:\WINDOWS\RunWin.exe

2025-07-30 17:40 - 2025-07-30 17:40 - 014676633 _____ C:\Users\Games\Downloads\x_Installers.zip

Происхождение этих файлов Вам известно?

[Jonnoton]

Нет, удалить их вручную?

А так да -причиной проверок стали вордовские файлы, которые перестали открываться и не восстанавливались через возможные сервисы восстановления. Я испугался что шифровальщик, но вроде бы нет

Изменено 31 июля, 2025 пользователем Jonnoton

[thyrex]

17 минут назад, Jonnoton сказал:

удалить их вручную?

Заархивируйте их вместе с файлом C:\WINDOWS\wireguard_orig.exe с паролем malware123, выложите на обменник и пришлите ссылку на скачивание.