Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

появляются в оперативной памяти MEM:Backdoor.Win64.Agent.gen и MEM:Trojan.Multi.Agent.gen

mpi2
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

В системе не видно ничего вредоносного. Предположу, что всё же по сети что-то пытается проникнуть.

Попробуем для эксперимента отключить терминальные подключения и проверите.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\WINDOWS\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\WINDOWS\system32\svchost.exe

Перезагрузите компьютер и последите, будут ли срабатывания KES.

 

 

Sandor

Sandor

Опубликовано
Опубликовано

+

Попробуйте экспортировать отчёты KES об обнаружении угрозы и прикрепите их тут в архиве.

mpi2

mpi2

Опубликовано
  • Автор
Опубликовано
В 22.05.2026 в 09:01, Sandor сказал:

В системе не видно ничего вредоносного. Предположу, что всё же по сети что-то пытается проникнуть.

Попробуем для эксперимента отключить терминальные подключения и проверите.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\WINDOWS\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\WINDOWS\system32\svchost.exe

Перезагрузите компьютер и последите, будут ли срабатывания KES.

 

 

Результата нет! Вирус по прежнему находится. 

Описание результата: Вылечено
Тип: Троянское приложение
Название: MEM:Backdoor.Win64.Agent.gen
Имя задачи: Поиск вредоносного ПО
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Объект: pmem:\C:\Windows\System32\VaultCmd.exe

Из замеченного, вирус появляется только в момент перезапуска компьютера. После лечения новых сработок нет в течение долгого времени

 

В 22.05.2026 в 09:40, Sandor сказал:

+

Попробуйте экспортировать отчёты KES об обнаружении угрозы и прикрепите их тут в архиве.

Сегодня, 26.05.2026 0:32:10    pmem:\C:\Windows\System32\VaultCmd.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Backdoor.Win64.Agent.gen    Экспертный анализ    Файл    pmem:\C:\Windows\System32    VaultCmd.exe    Обнаружено    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь
Сегодня, 26.05.2026 0:34:05    pmem:\C:\Windows\System32\VaultCmd.exe    Вылечено    Объект вылечен    MEM:Backdoor.Win64.Agent.gen        Файл    pmem:\C:\Windows\System32    VaultCmd.exe    Вылечено    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь
Сегодня, 26.05.2026 21:46:00    pmem:\C:\Windows\System32\VaultCmd.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Backdoor.Win64.Agent.gen    Экспертный анализ    Файл    pmem:\C:\Windows\System32    VaultCmd.exe    Обнаружено    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь
Сегодня, 26.05.2026 21:49:48    pmem:\C:\Windows\System32\VaultCmd.exe    Вылечено    Объект вылечен    MEM:Backdoor.Win64.Agent.gen        Файл    pmem:\C:\Windows\System32    VaultCmd.exe    Вылечено    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

mpi2

mpi2

Опубликовано
  • Автор
Опубликовано

Task: {A67FE49E-5424-45F5-9347-257FE1179FF6} - System32\Tasks\Microsoft\Windows\Autochk\KeyPreair => C:\Program Files (x86)\Microsoft\Edge\Application\Msproedg.exe [64080 2026-03-16] (Microsoft 3rd Party Application Component -> )

 

Вот эта задача в планировщике, вероятно, запускала ВПО

Sandor

Sandor

Опубликовано
Опубликовано

Это вполне легитимный файл. Потому и советую обратиться в ТП. Не исключено, что это ложное срабатывание.

mpi2

mpi2

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Это вполне легитимный файл. Потому и советую обратиться в ТП. Не исключено, что это ложное срабатывание.

Да, я обязательно напишу в ТП.

Но, хотелось бы отметить, что на этом компьютере нет никаких специальных программных продуктов. У нас есть аналогичный компьютер с Win11 и на нем нет таких файлов и такой задачи. 

  • Like (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...