Перейти к содержанию
Правила раздела
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Подцепил UDS.DangerousObject.Multi.Generic,внедряется в процессы

Krungo34

Автор Krungo34
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Krungo34

Krungo34

Опубликовано
Опубликовано (изменено)
Добрый день! Пару дней назад подцепил руткит DangerousObject.Multi.Generic, Касперский лечил его, но при перезагрузке, вирус снова атаковал систему,внедрялся в процессы, так несколько раз. Чаще всего атакует "System Memory". Отметил, что система стала перезагружаться пару раз в день, началось, естественно с момента появления вируса. "PAGE_FAULT_IN_NONPAGED_AREA" синий экран смерти 0x00000050 и т. д несколько раз в день, думаю это связано с действием вируса (ов), поскольку до него все работало идеально.

Заранее благодарю за помощь! Уже несколько дней мучаюсь с этой проблемой.

P.s Высылаю логи!

P.p.s За это время, Касперский устранил еще пару троянов класса Trojan.script.Agent.gen и Rootkit.Win64.Equation Drug.a

.

CollectionLog-2017.05.03-13.14.zip

avz_log.txt

Изменено пользователем Krungo34
SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.




Также пришлите ссылку на дамп (c:\windows\MEMORY.dmp), похоже на уязвимость Microsoft - NSA Eternalblue SMB, которую на Вашем ПК воспроизводят.

Для исправления необходимо установить патч для соответсвующей ОС:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
 

  • Спасибо (+1) 1
Krungo34

Krungo34

Опубликовано
  • Автор
Опубликовано

Спасибо за ответ!

У меня в директории С/Windows нет файла Memory.dmp. У меня есть папка Minidump, но там пусто. Может мне нужно включить в свойствах папки "показывать скрытые защищенные файлы"?

P.s Высылаю логи программы!

FRST.txt

Addition.txt

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kir_new
      Не удаляются вирусы. UDS:DangerousObject.Multi.Generic и HEUR:Trojan.Win64.Miner.gen.
      Автор Kir_new
      Изначально было, что компьютер всё себя странно, в том плане, что не открывались некоторые программы (например "Ножницы" или "Редактор реестра"). После проверки KVRT было найдено 13 вирусов (сколько-то из них потенциальных). После очистки заработало всё нормально. Но при повторной проверке всё равно находятся UDS:DangerousObject.Multi.Generic и HEUR:Trojan.Win64.Miner.gen. При этом они просто помещаются в каратин. После этого какое-то время после этого антивирус их не находит. Но затем они появляются снова (удаляешь их из карантина или нет).
      Так же иногда находятся Trojan.Win64(32)Autoit.acpju и Trojan.Win64(32)AutoIt.fpl. В скобках написал, потому что точно не помню, так как они даже не добавились в карантин в последний раз.

    • serega_123
      UDS:DangerousObject.Multi.Generic или Trojan-Ransom.Win32.Shade.ozm
      Автор serega_123
      Добрый день!
      По почте пришло письмо с архивом, внутри которого находился файл "Газпромбанк Заказ 02-11.js".
      Знакомый пользователь его запустил и почти сразу обратился ко мне с подозрением на вирус.
      Удалось быстро выключить компьютер (через 5 минут после запуска вредоносного кода).
       
      Ручной анализ файла показал, что это даунлоадер, который качает файл "sserv.jpg" с одного из двух адресов:
      aquakleanz.com/wp-content/blogs.dir/sserv.jpg
      votebrycerobertson.com/wp-includes/ID3/sserv.jpg
      Сохраняет его во временную папку Windows и запускает как исполняемый файл (вроде-бы без ключей, просто в скрытом режиме).
       
      Свойства файла говорят о том, что это на самом деле EXE, который раньше назывался gniscan.exe и имеет описание как Global Network Inventory Scanner производства Magneto Software. Подозреваю, что это маскировка.
       
      Проверка этого файла на virusdesk.kaspersky.ru в пятницу давала классификацию UDS:DangerousObject.Multi.Generic. Сегодня - дает классификацию Trojan-Ransom.Win32.Shade.ozm
       
      После запуска компьютера в безопасном режиме пользователь сохранил личные файлы на внешний диск и снова передал компьютер мне. Я также продолжал работу в безопасном режиме. Провел очистку временных файлов штатными средствами Windows и утилитой CCleaner. Просмотрел файлы пользователя и не нашел добавленных расширений, как это бывает после работы вирусов-шифровальщиков.
       
      В автозапуске тоже вроде бы ничего не нашел, но могу ошибаться.
      KVRT и DrWeb ничего не нашли.
       
      AutoLogger также запускал из безопасного режима, логи прилагаю.
      Также прилагаю файлы вируса, пароль 123
       
      Прошу проверить, не осталось ли следов вируса и, если это возможно - уточнить, что же он на самом деле делает, если не шифрует.
       
      Спасибо!
       
      CollectionLog-2018.11.06-10.54.zip
    • cmd11
      uds:dangerousObject.Multi.Generic
      Автор cmd11
      Здравствуйте!
       
      загрузил архив с обновлением прошивки автомобильного устройства.
       
      после распаковки касперский обнаружил угрозу uds:dangerousObject.Multi.Generic и удалил файл.
       
      отправить вам архив и файл по ссылке не удалось. архив запаролен, файл не прикрепляется.
      заархивировать файл с новым паролем на архив также не получается - размер архива - 0 байт.
       
      архив прикрепил. пароль к архиву autobzik
      вчера-сегодня пропала папка с рабочими документами на 1гб
       
       
      помогите пожалуйста разобраться! очень много ценной рабочей документации на компьютере.
       
      это ложное срабатывание или нет? если вирус, как избавиться и восстановить систему и утраченную папку?
       
      заранее благодарю!
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте на форуме вредоносные и потенциально вредоносные файлы, а также ссылки на них.
    • Alan_G
      UDS:DangerousObject.Multi.Generic
      Автор Alan_G
      День добрый! 
      Касперский выдает угрозу под названием UDS:DangerousObject.Multi.Generic, предлагает лечит, однако после окончания процедуры лечения (перезагрузки ПК) снова выдает предупреждение об этом же вирусе и предлагает лечение еще раз.
      Сам же вирус активности никакой не проявляет. Опасен ли он вообще? Если да, то как можно окончательно от него избавиться?
       
      P.S. После лечения в карантине часто был замечен какой-то файл samp.dat, который появлялся даже после удаления. Может, это тоже важно.

      P.P.S. На данный момент (спустя ~10 минут) после очередной перезагрузки антивирус ничего плохого не выдает. Но тем не менее до этого приходилось перезагружать компьютер примерно 3 раза подряд, поэтому мало ли...
      CollectionLog-2017.05.08-19.42.zip
×
×
  • Создать...