Перейти к содержанию

Вирус в системной памяти с периодической активацией


Рекомендуемые сообщения

Опубликовано

Доброго времени суток, товарищи консультанты.

 

Лог с Autolgger и FRST заранее прикрепил.

 

Суть проблемы: началось это года полтора назад примерно. После запуска системы, ПК при запуске браузера и хотя бы одной вкладки, примерно каждый второй раз почти намертво зависал, не давая открыть ни диспетчер задач, ни какую-либо другую вкладку в браузере, ни какую-либо другую программу (могли прогрузиться спустя минуты 2-3, но пользоваться ими все равно было невозможно). Грешил на старое железо (потому что каспер и comodo не видели никаких угроз), в итоге в начале года обновил ПК на довольно современное железо. Проблема полностью не исчезла, но происходить это начало теперь крайне редко, один раз на 20-30 запусков (какой-то закономерности не нашёл). Вообще это уже тревожный звоночек по идее, но я на это как-то забил, ссылаясь мысленно на какие-то внутренние конфликты с системой софта по типу WARP и т.д. 

 

Но 9 дней назад у меня выскочило несколько системных ошибок, а каспер начал лечение активного заражения в system memory. При этом какой именно файл был вылечен и в чём вообще была угроза нигде указано не было. Собственно понадеявшись на то, что всё было вылечено, и угроза могла быть с каких-то очень старых файлов с очень старого диска, я опять не придал этому значения. Но сегодня это повторилось опять, в этот раз они уже были связаны с недоступностью системных файлов из system32 (видел что-то про kernel), из-за чего браузер не реагировал ни на какие команды, и каспер снова начал лечение активного заражения, снова не указывая что было вылечено. Закономерность заметил только одну - оба лечения были начаты примерно в 0:30, возможно вредонос атакует примерно в одно и тоже время.

 

KVRT ничего не находит, оба антивируса тоже. В логах вроде как видны ошибки, про которые я говорил, сам не могу понять в чём причина была. Обновления Windows и Defender отключены умышленно, специально такую сборку качал. Прошу подсказать в чём кроется причина, если какая-то взаимосвязь между зависаниями при запуске ПК и последними атаками в system memory, и как это всё можно устранить. Заранее благодарю!

CollectionLog-2026.04.30-02.13.zip FRST.txt Addition.txt

Опубликовано

Детекты Касперского можете показать в отчете по обнаружениям? В архиве, без пароля.

+

Добавьте дополнительно образ автозапуска с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.


4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

 

 

Опубликовано

@safety Спасибо за оперативный ответ! Оба архива во вложении: в первом детекты файлового антивируса за последнее время, во втором образ с uVS c твиком 39. Ещё сейчас при первом запуске ПК вылетел BSOD из-за какого-то отсутствующего системного файла, но после перезагрузки проблем не наблюдалось.

 

P.S: смотрю на детекты, и не помню чтобы у меня на ПК был ранее "Windows PC Health Check", а с отключенным обновлением системы не уверен откуда он мог взяться. Возможно заблуждаюсь 

Detects.rar WIN-682JFBD68QS_2026-04-30_18-37-58_v5.0.5v x64.7z

Опубликовано (изменено)
Цитата

Детекты Касперского можете показать в отчете по обнаружениям? В архиве, без пароля.

детекты покажите в отчете, в текстовом формате. в архиве, без пароля

 

не много ли у вас установлено антивирусных продуктов? Напишите, как у вас выстроена конфигурация антивирусной защиты.

Цитата

 

Kaspersky Anti-Virus (HKLM-x32\...\{4FC79BE9-AD63-46C0-9626-E4F6BCE6A976}) (Version: 21.3.10.391 - Лаборатория Касперского) Hidden
Kaspersky Internet Security (HKLM-x32\...\InstallWIX_{4FC79BE9-AD63-46C0-9626-E4F6BCE6A976}) (Version: 21.3.10.391 - Лаборатория Касперского)
Kaspersky Secure Connection (HKLM-x32\...\{FF2A12B8-AEB7-48C0-95C8-E2E3D67DFCB2}) (Version: 21.3.10.391 - Лаборатория Касперского) Hidden
Kaspersky Secure Connection (HKLM-x32\...\InstallWIX_{FF2A12B8-AEB7-48C0-95C8-E2E3D67DFCB2}) (Version: 21.3.10.391 - Лаборатория Касперского)

COMODO Internet Security 2025 Premium (HKLM\...\COMODO Internet Security) (Version: 12.3.4.8162 - COMODO Security Solutions Inc.)
COMODO Internet Security Pro (HKLM\...\{D059ED0D-D72A-474D-9F6D-11BD124F89C5}) (Version: 12.3.4.8162 - COMODO Security Solutions Inc.) Hidden

 

 

Изменено пользователем safety
Опубликовано

@safety Поменял отчёт. Внутри два .txt файла - один от модуля "файловый антивирус", другой от модуля "проверка". В отчёте "проверка" кстати видно, что 9 дней назад был вылечен Trojan.Multi.GenAutorunReg.a, но откуда он взялся - не вижу.

Антивируса у меня всего два: Kaspersky Internet Security (бесплатная версия, работают все доступные модули) и COMODO Internet Security 2025 Premium (включены модули "антивирус" и "VirusScope"). Знаю что 2 антивируса это не совсем правильно, но раньше Comodo перехватывал и блокировал то, чего не видел каспер. 

Detects_txt.rar

Опубликовано

Судя по детектам обнаружение и излечение было 10 дней назад

Цитата

21.04.2026 0:28:45    System Memory    Вылечено    Объект вылечен    Trojan.Multi.GenAutorunReg.a        Файл        System Memory    Вылечено    Троянская программа    Высокая    Точно    WIN-682JFBD68QS\User    Активный пользователь
21.04.2026 0:28:23    System Memory    Обнаружено    Обнаружен вредоносный объект    Trojan.Multi.GenAutorunReg.a    Экспертный анализ    Файл        System Memory    Обнаружено    Троянская программа    Высокая    Точно    WIN-682JFBD68QS\User    Активный пользователь

других обнаружений нет.

 

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу uVS без перезагрузкой системы

;uVS v5.0.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %Sys32%\WPBBIN.EXE
hide %SystemDrive%\PROGRAM FILES\SANDBOXIE\SBIESVC.EXE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/KASPERSKY-PROTECTION/AHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\PUB\XMSALE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {21E17C2F-AD3A-4B89-841F-09CFE02D16B7}\[CLSID]
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\COMMON DESKTOP AGENT\CDASRV.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\ACTIVEANTICHEAT\1223549\AAERRPORT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FINALWIRE\AIDA64 EXTREME\KERNELD.X64
delref %SystemDrive%\PROGRAM FILES\AMNEZIAVPN\MULLVAD-SPLIT-TUNNEL.SYS
delref G:\EPIC GAMES\ROCKSTARSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\145.0.7632.111\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\145.0.7632.111\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\145.0.7632.111\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\145.0.7632.111\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\98.0.4758.82\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\98.0.4758.82\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\98.0.4758.82\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\98.0.4758.82\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\98.0.4758.82\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\98.0.4758.82\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\144.0.7559.110\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\144.0.7559.110\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\144.0.7559.110\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\144.0.7559.110\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\115.0.5790.111\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.158\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\115.0.5790.111\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\115.0.5790.111\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.158\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.208\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.208\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.208\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\143.0.7499.170\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.4.761\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.4.761\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.4.761\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.4.761\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.50\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\144.0.3719.82\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\144.0.3719.82\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.56\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.56\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.56\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.56\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.56\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.56\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.56\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.56\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.56\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\140.0.3485.94\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\140.0.3485.94\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\140.0.3485.94\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\140.0.3485.94\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\140.0.3485.94\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\140.0.3485.94\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\140.0.3485.94\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\145.0.3800.58\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\145.0.3800.58\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref I:\AUTORUN.EXE
delref H:\AUTORUN.EXE
delref H:\SUPPORT\DIRECTX\DXSETUP.EXE
delref F:\ELECTRONIC ARTS\LAUNCHER\PORTAL\BINARIES\WIN64\EPICGAMESLAUNCHER.EXE
delref E:\GAMES\UNDERTALE\UNDERTALE V1.08C\UNDERTALE.EXE
delref F:\NOX\BIN\NOX.EXE
delref %SystemDrive%\USERS\USER\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
delref G:\EPIC GAMES\LAUNCHERPATCHER.EXE
;-------------------------------------------------------------
REGT 40
restart

Далее:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте логи FRST для контроля

Опубликовано

@safety Готово. В логах UVs вижу сообщения про сплайсинг каких-то системных файлов. Именно их названия в ошибках доступа я видел, когда каспер запустил очередное лечение 30 апреля, которого почему-то нет в детектах

FRST.txt 2026-05-01_13-05-45_log.txt Addition.txt

Опубликовано

Попробуйте еще раз собрать образ автозапуска в uVS, только в окне стартера uVS нажмите на "антисплайсинг", а потом уже на текущий пользователь. Может что-то еще обнаружится.

Опубликовано

@safety Спасибо за ожидание! Пересобрал, с антисплайсингом и твиком 39. Прогнал ещё раз скрипт, чтобы логи были. И в FRST тоже логи собрал. Из интересного увидел что обнаружен 1 подозрительный файл, нет подписи у C:\WINDOWS\SYSTEM32\DRIVERS\BTHHFENUM.SYS (из-за отсутствия или повреждения этого файла кстати и вылезал BSOD при недавнем запуске, почти на 100% уверен что это он был), и удален 1 процесс автозапуска, хотя по идее они ещё в прошлый раз должны все удалиться были. Что скажете?

Addition.txt WIN-682JFBD68QS_2026-05-03_16-22-50_v5.0.5v x64.7z 2026-05-03_16-26-30_log.txt FRST.txt

Опубликовано

Чуть позже проверю новые логи, пока нет возможности проверить новый образ.

Опубликовано

Чего то подозрительного в новом образе не нашлось, кроме удаления спайсинга, но предполагаю, то он вновь будет обнаружен после перезапуска системы. Возможно, что проблемы связаны с наличием двух антивирусных программ. Отключите хотя бы в Comodo антивирус, оставьте только файервол.

Опубликовано

Да, пожалуй так и сделаю. Большое спасибо за помощь! Надеюсь больше не повторятся эти инциденты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Vsevolod0004
      Автор Vsevolod0004
      Добрый вечер. После установки торрента подцепил что-то, в названии не уверен, похоже на genbaldur или похожее. Находится в system memory. Полная проверка нашла, начала лечить, перезагрузила компьютер, после чего повторная проверка опять нашла это что-то. Но после нажатия на уведомления центр уведомлений ничего не выдает, и Касперский больше уведомлений не присылает.


      CollectionLog-2025.01.19-16.51.zip
    • Elenaaa
      Автор Elenaaa
      При быстрой проверке смутило то, что появилась кнопка "устранить" рядом с System Memory. Безопасно ли нажимать, и что вообще происходит в данной ситуации, если нажать?

    • anariel_m
      Автор anariel_m
      Начала очень быстро заполняться память диска С на ноутбуке, которой и так было немного, но в общем сейчас она вылетает в ноль с 2-3гб за минут 5-10. Скан malware и Microsoft security сначала ничего не дал вообще, потом Касперский нашел два трояна (Trojan.Multi.GenAutorunTask.c и HEUR:Trojan.Multi.GenBadur.gena), первый из них в системной памяти. Тот, который в памяти, он мог только лечить (считает, что вылечил), второй удалил. Повторное сканирование нашло ещё два вируса на диске D, их не было в первый раз, их вроде удалил. Под конец microsoft security тоже увидел какой-то троян, тоже удалил. Третье сканирование Касперским не нашло ничего, но память всё ещё забивается до нуля за 5 минут. 

      Буду очень благодарна за помощь.
      CollectionLog-2022.10.19-20.01.zip
    • Mikhail_Absorber
      Автор Mikhail_Absorber
      Добрый день!
      Возникает проблема с бесконечным сканированием, когда запускаю KVRT.
      На скриншоте - пример, на самом деле проверка System Memory продолжалась более 12 часов, и никуда не сдвинулась. Более того, когда пытаюсь завершить проверку - программа просто зависает.
      Подскажите, пожалуйста, в чем может быть проблема.


    • ArataKun
      Автор ArataKun
      Добрый день участники форума.
      У меня после загрузки компьютера часто возникает сообщение от Касперского о трояне в системной памяти. Нажимаю "Лечить с перезагрузкой", Касперский лечит, комп перезагружается, и снова всплывает это же предупреждение. Бывает, что оно не появляется сразу после загрузки, но если я запущу сканирование системной памяти, то предупреждение снова появится. Как-то связать время, когда впервые появилось это предупреждение, с какими-то событиями на компьютере (установка программ, обновлений и т.п.) я не могу.
      Софт стоит следующий:
      Антивирус: Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для Windows, версия 10.2.4.674
      ОС: Windows XP SP3 (Build 2600)
       
      Ругается на троян Trojan.Win32.Agent.gen
       
      Кроме Касперского никаких антивирусов в системе нет. Прошёлся "Kaspersky Virus Removal Tool" и собрал данные Автологгером. Архив и фото предупреждения (кнопка "PrintScreen" не работает) прикрепил. Надеюсь на помощь.
       
       
      CollectionLog-2016.12.20-23.38.zip

×
×
  • Создать...