Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Троян в System Memory не лечится

ArataKun

Автор ArataKun
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ArataKun

ArataKun

Опубликовано
Опубликовано

Добрый день участники форума.

У меня после загрузки компьютера часто возникает сообщение от Касперского о трояне в системной памяти. Нажимаю "Лечить с перезагрузкой", Касперский лечит, комп перезагружается, и снова всплывает это же предупреждение. Бывает, что оно не появляется сразу после загрузки, но если я запущу сканирование системной памяти, то предупреждение снова появится. Как-то связать время, когда впервые появилось это предупреждение, с какими-то событиями на компьютере (установка программ, обновлений и т.п.) я не могу.

Софт стоит следующий:

Антивирус: Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для Windows, версия 10.2.4.674

ОС: Windows XP SP3 (Build 2600)

 

Ругается на троян Trojan.Win32.Agent.gen

 

Кроме Касперского никаких антивирусов в системе нет. Прошёлся "Kaspersky Virus Removal Tool" и собрал данные Автологгером. Архив и фото предупреждения (кнопка "PrintScreen" не работает) прикрепил. Надеюсь на помощь.

 

 

CollectionLog-2016.12.20-23.38.zip

post-43064-0-39605000-1482308195_thumb.jpg

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

1. Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

2.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Сообщите что с проблемой.

  • 3 недели спустя...
ArataKun

ArataKun

Опубликовано
  • Автор
Опубликовано (изменено)

Доброго дня всем.

В общем, уходил я в отпуск за неделю до нового года и передал задачу по удалению вируса другому человеку. Сейчас вернулся, вирус уже удалён. Там были два левых драйвера, что именно за драйверы, человек уже не вспомнит, так что тайна источника вируса осталась покрытая мраком.

Изменено пользователем ArataKun
Sandor

Sandor

Опубликовано
Опубликовано

Проделайте завершающие шаги:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Zhivitchenko14
      Долго загружаются иконки в панели задач, параллельно автоматически не подключается к вай-фай (и делает это долго)
      Автор Zhivitchenko14
      Добрый день!
      Долго прогружаются иконки + сбрасывается подключение к вай-фай и подключается к нему долго (думаю, это как следствие основной проблемы)
      Также в журнале событий завершаются службы bits и UsoSvc
      По опыту предыдущего запроса на другом компе я скачал программу и просканировал комп
      Файлы логов во вложении в архиве
      Прошу помочь!
      Логи(05.06.2026).7z
    • Moongaze
      [РЕШЕНО] Еще один Trojan:PowerShell/Bynoco.RR!ams
      Автор Moongaze
      Здравствуйте!
      Не удаляется троян. Делал проверку через Dr.Web Cureit и он его не видит, + отключилось обновление Windows (выдает "что-то пошло не так. Попытайтесь повторно открыть позже").
      Windows defender его видимо удаляет, но он появляется заново. Раз в минуту моргает отображение, иногда две штуки показывает сразу, иногда ни одного.

      Возможный дубль 





    • Bloodii
      Trojan:MSIL/Injector.AH!MTB
      Автор Bloodii
      Через временные промежутки выскакивает обнаружение. Первый скрин долбит комп.



      HOME-PC_2026-05-04_10-04-51_v5.0.5v x64.7z
    • Tenshiii
      Вирус в системной памяти с периодической активацией
      Автор Tenshiii
      Доброго времени суток, товарищи консультанты.
       
      Лог с Autolgger и FRST заранее прикрепил.
       
      Суть проблемы: началось это года полтора назад примерно. После запуска системы, ПК при запуске браузера и хотя бы одной вкладки, примерно каждый второй раз почти намертво зависал, не давая открыть ни диспетчер задач, ни какую-либо другую вкладку в браузере, ни какую-либо другую программу (могли прогрузиться спустя минуты 2-3, но пользоваться ими все равно было невозможно). Грешил на старое железо (потому что каспер и comodo не видели никаких угроз), в итоге в начале года обновил ПК на довольно современное железо. Проблема полностью не исчезла, но происходить это начало теперь крайне редко, один раз на 20-30 запусков (какой-то закономерности не нашёл). Вообще это уже тревожный звоночек по идее, но я на это как-то забил, ссылаясь мысленно на какие-то внутренние конфликты с системой софта по типу WARP и т.д. 
       
      Но 9 дней назад у меня выскочило несколько системных ошибок, а каспер начал лечение активного заражения в system memory. При этом какой именно файл был вылечен и в чём вообще была угроза нигде указано не было. Собственно понадеявшись на то, что всё было вылечено, и угроза могла быть с каких-то очень старых файлов с очень старого диска, я опять не придал этому значения. Но сегодня это повторилось опять, в этот раз они уже были связаны с недоступностью системных файлов из system32 (видел что-то про kernel), из-за чего браузер не реагировал ни на какие команды, и каспер снова начал лечение активного заражения, снова не указывая что было вылечено. Закономерность заметил только одну - оба лечения были начаты примерно в 0:30, возможно вредонос атакует примерно в одно и тоже время.
       
      KVRT ничего не находит, оба антивируса тоже. В логах вроде как видны ошибки, про которые я говорил, сам не могу понять в чём причина была. Обновления Windows и Defender отключены умышленно, специально такую сборку качал. Прошу подсказать в чём кроется причина, если какая-то взаимосвязь между зависаниями при запуске ПК и последними атаками в system memory, и как это всё можно устранить. Заранее благодарю!
      CollectionLog-2026.04.30-02.13.zip FRST.txt Addition.txt
    • Vladimir752
      [РЕШЕНО] Trojan:PowerShell/Bynoco.RR!ams
      Автор Vladimir752
      Здравствуйте!
      Не удаляется троян. Делал проверку через Dr.Web Cureit и он его не видит, + отключилось обновление Windows (выдает "что-то пошло не так. Попытайтесь повторно открыть позже").
      CollectionLog-2026.04.11-13.59.zip 
      SecurityCheck.txt

×
×
  • Создать...