[РЕШЕНО] Trojan.Multi.GenAutorunWMI.a system memory не могу удалить
Автор
nikhopka,
в Помощь в удалении вирусов
-
Похожий контент
-
От Elenaaa
При быстрой проверке смутило то, что появилась кнопка "устранить" рядом с System Memory. Безопасно ли нажимать, и что вообще происходит в данной ситуации, если нажать?
-
От anariel_m
Начала очень быстро заполняться память диска С на ноутбуке, которой и так было немного, но в общем сейчас она вылетает в ноль с 2-3гб за минут 5-10. Скан malware и Microsoft security сначала ничего не дал вообще, потом Касперский нашел два трояна (Trojan.Multi.GenAutorunTask.c и HEUR:Trojan.Multi.GenBadur.gena), первый из них в системной памяти. Тот, который в памяти, он мог только лечить (считает, что вылечил), второй удалил. Повторное сканирование нашло ещё два вируса на диске D, их не было в первый раз, их вроде удалил. Под конец microsoft security тоже увидел какой-то троян, тоже удалил. Третье сканирование Касперским не нашло ничего, но память всё ещё забивается до нуля за 5 минут.
Буду очень благодарна за помощь.
CollectionLog-2022.10.19-20.01.zip
-
От Burila
В корпоративной сети появился и разползся вирус.
Антивирусы определяют его как:
HEUR:Trojan.Multi.GenAutorunSvc.ksws [Каspersky Security for Windows Server] Trojan.Multi.GenAutorunWMI.a (или .с) [Kaspersky Cloud на клиентских машинах] PowerShellMulDrop.129 + PowerShellDownLoader.1452 [DrWeb CureIT]
Проявления заражения выглядят следующим образом: загрузка процессоров на машинах под 100% процессами schtasks.exe и несколькими powershell.exe.
Заражает машины с Windows 7, Server 2008, Server 2012, как физические, так и виртуальные. Компы с WinXP и Server2003 вирусу пока не интересны.
Зараженные машины выявлялись, пролечивались, устанавливался антивирус.
После этого загрузка процессора нормализуется, но, судя по логам антивируса на серверах, зараза продолжает сидеть на машинах. И так же продолжается ее распространение по сетке предприятия.
Прошу проконсультировать:
1. Как вывести заразу с серверов (и, возможно, с клиентских машин)
2. Что требуется для предотвращения заражения новых машин и прекращения распространение вируса
3. Если есть какая-то подробная информация по данному зловреду, механизму распространения и действия - с удовольствием ознакомлюсь.
Заранее благодарю.
Это была преамбула, теперь более развернутая информация:
Сервера:
С их диагностики всё началось, с ними же грустнее всего.
В рамках борьбы с заражением на сервера установлены Каspersky Security for Windows Server 11.0.1.897
После установки, активации, обновления баз и включения KSN запускалась "Проверка важных областей" с настройками "по умолчанию" (Действия над зараженными и другими обнаруженными объектами: Выполнять рекомендуемое действие).
Находилось следующее:
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunSvc.ksws.
Имя объекта: WMIService:BVMFJGIVCEOAWSUOYQTH
После последующей перезагрузки сервера в диспетчере задач всё выглядит прилично и "лишние" процессы не грузят систему.
Но в "Событиях" задачи "Постоянная защита файлов" постоянно появляются блоки новых записей с пометкой "Уровень важности: Критический".
Получается, дрянь сидит где-то в системе и периодически пытается вылезти в интернет.
И, возможно, еще что-то делает не такое явное.
Блок сообщений с одного из серверов:
Время: 26.08.2021 2:06:54
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
Имя объекта: WMI-Consumer:SCM Event8 Log Consumer
Время: 26.08.2021 2:06:55
Обнаружен объект: Потенциальная уязвимость HEUR:Trojan.Multi.GenAutorunWmi.ksws.
Имя объекта: WMI-Consumer:SCM Event8 Log Consumer2
Время: 26.08.2021 2:50:51
Обнаружен веб-адрес. .
Имя объекта: http://45.10.69.139:8000/in6.ps1
Компьютер: network
Пользователь: KR-TERM\Администратор
Имя процесса: wmiprvse.exe
PID: 3884
Время: 26.08.2021 6:55:28
Обнаружен веб-адрес. .
Имя объекта: http://45.10.69.139:8000/in6.ps1
Компьютер: network
Пользователь: KR-TERM\Администратор
Имя процесса: wmiprvse.exe
PID: 3884
На других серверах дополнительно появляются сообщения с другими пользователями и процессом:
Обнаружен веб-адрес. .
Имя объекта: http://45.10.69.139:8000/in6.ps1
Компьютер: localhost
Пользователь: WORKGROUP\FIL-T2$
Имя процесса: services.exe
PID: 764
Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: в защищаемом процессе другой процесс создал поток управления.
Имя объекта: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Компьютер: VIRTUALMACHINE
Пользователь: VIRTUALMACHINE\Администратор
Имя процесса: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Обнаружен объект: Троянская программа Trojan.Win32.Shelma.arzd.
Имя объекта: C:\Windows\System32\mue.exe
MD5 хеш файла: d1aed5a1726d278d521d320d082c3e1e
Хеш SHA256 файла: 0a1cdc92bbb77c897723f21a376213480fd3484e45bda05aa5958e84a7c2edff
Компьютер: network
Пользователь: VIRTUALMACHINE\Администратор
Клиентские компьютеры:
Если на клиентской машине c windows 7 стоит антивирус Касперского - машина не заражалась.
При отключения Касперского машина заражается.
Kaspersky Cloud в этом случае находит в системной памяти несколько разновидностей вируса:
Trojan.Multi.GenAutorunWMI.a (компьютер 1) Trojan.Multi.GenAutorunReg.c (компьютер 2) После лечения с перезагрузкой на клиентской машине вроде всё в порядке - в процессах лишнего нет, полная проверка компьютера ничего не находит.
Если на зараженной машине, на которой не стоит антивирус, запустить DrWeb CureIT, то обнаруживаются обычно следующие угрозы (пример с конкретной машины):
Объект: powershell.exe
Угроза: PowerShellDownLoader.1452
Путь: \Process\4288\Device\HarddiskVolume2\Windows\System32\WindowsPoweShell\v1.0\powershell.exe
Объект: CommandLineTemplate
Угроза: PowerShellMulDrop.129
Путь: \WMI\root\subscription\CommandLineEventConsumer{266c72e5-62e8-11d1-ad89-00c04fd8fdff}\CommandLineTemplate
powershell.exe может быть несколько, CommandLineTemplate обычно один.
После пролечивания утилитой DrWeb CureIT "паразитные" процессы исчезают, но через какое-то время снова происходит заражение и последующая загрузка мощностей машины.
При подготовке обращения согласно инструкциям перед запуском "Kaspersky Removal Tool" на одном из серверов (Windows Server 2012 R2 Standart) отключил компоненты Каspersky Security for Windows Server "Постоянная защита файлов" и "Защита от сетевых угроз". В диспетчере задач тут же радостно нарисовалась загрузка процессом Powershell, который пришлось завершить вручную.
KVRT обнаружил троянскую программу "Trojan.Multi.GenAutoranReg.c". Выбрал "Лечение с перезагрузкой".
После перезагрузки запустил автоматический сбор логов.
Прикладываю файлы сканирования с сервера.
CollectionLog-2021.08.26-15.38.zip
-
От Mikhail_Absorber
Добрый день!
Возникает проблема с бесконечным сканированием, когда запускаю KVRT.
На скриншоте - пример, на самом деле проверка System Memory продолжалась более 12 часов, и никуда не сдвинулась. Более того, когда пытаюсь завершить проверку - программа просто зависает.
Подскажите, пожалуйста, в чем может быть проблема.
-
От ArataKun
Добрый день участники форума.
У меня после загрузки компьютера часто возникает сообщение от Касперского о трояне в системной памяти. Нажимаю "Лечить с перезагрузкой", Касперский лечит, комп перезагружается, и снова всплывает это же предупреждение. Бывает, что оно не появляется сразу после загрузки, но если я запущу сканирование системной памяти, то предупреждение снова появится. Как-то связать время, когда впервые появилось это предупреждение, с какими-то событиями на компьютере (установка программ, обновлений и т.п.) я не могу.
Софт стоит следующий:
Антивирус: Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для Windows, версия 10.2.4.674
ОС: Windows XP SP3 (Build 2600)
Ругается на троян Trojan.Win32.Agent.gen
Кроме Касперского никаких антивирусов в системе нет. Прошёлся "Kaspersky Virus Removal Tool" и собрал данные Автологгером. Архив и фото предупреждения (кнопка "PrintScreen" не работает) прикрепил. Надеюсь на помощь.
CollectionLog-2016.12.20-23.38.zip
-
Рекомендуемые сообщения