[РЕШЕНО] Касперский постоянно ругается на mem:trojan.win64.generic.mem в системной памяти

[kinder_fortune]

Добрый день!

У меня такая проблема: сразу при включении компьютера выскакивает сообщение от Касперского о трояне с названием mem:trojan.win64.generic.mem. Расположение: системная память. Лечить с перезагрузкой и без неё не помогает, буквально через минуту сообщение появляется снова. 

Файл протоколов прикрепляю.

CollectionLog-2021.11.22-21.11.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteSchedulerTask('Microsoft\Windows\MUI\498705764');
ExecuteSysClean;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[kinder_fortune]

Готово

CollectionLog-2021.11.22-22.03.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[kinder_fortune]

Добрый вечер. Сделала

frst.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-937025216-2678273490-2745665631-1001\...\MountPoints2: {29001caf-05a3-11eb-9c6a-b42e99c031d7} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-937025216-2678273490-2745665631-1001\...\MountPoints2: {60b3bfac-4118-11eb-9c76-b42e99c031d7} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-937025216-2678273490-2745665631-1001\...\MountPoints2: {9763df72-7cea-11ea-9c54-b42e99c031d7} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-937025216-2678273490-2745665631-1001\...\MountPoints2: {b1e7beb8-d88b-11ea-9c62-b42e99c031d7} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-937025216-2678273490-2745665631-1001\...\MountPoints2: {c17d5b04-106c-11eb-9c6e-b42e99c031d7} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-937025216-2678273490-2745665631-1001\...\MountPoints2: {d4ffd84e-5ac8-11ea-9c4d-b42e99c031d7} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-18\...\RunOnce: [Application Restart #3] => C:\Program Files\internet explorer\iexplore.exe -restart /WERRESTART <==== ВНИМАНИЕ
Task: {E6B2984A-169F-4C89-88A9-F2A9DF5AB4CA} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{8A2DE25E-11C5-47B3-93DE-FBD0F96CED43}] => (Allow) E:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{6EE3AC63-33C4-47DC-A185-E26DD1595560}] => (Allow) E:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{6C7650BC-3626-4B50-BBAC-C617BFD2BFE6}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{AF79E167-2CDA-40F4-8FB4-ED35FD6C370A}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{79D943A8-58B4-4216-95E0-BC7497788D7F}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [{74C23A32-DA4E-4845-97CC-987780DCA8D9}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{25A433D8-373B-4D20-9FC7-675120EEAF36}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{E40BFF45-482D-4B70-AEA9-04C01BA3169B}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [{40B57390-088C-4E3E-82E2-C0E39C7D096F}] => (Allow) E:\Torrent скачанное\The Sims 4\Game\Bin_LE\TS4.exe => Нет файла
FirewallRules: [{6503E28C-A478-4D7E-848E-F425EC4FD1D7}] => (Allow) E:\Torrent скачанное\The Sims 4\Game\Bin_LE\TS4.exe => Нет файла
FirewallRules: [{F1FC0971-7B5F-4983-9A44-C6A285E8941D}] => (Allow) E:\Torrent скачанное\The Sims 4\Game\Bin\TS4_x64.exe => Нет файла
FirewallRules: [{0EE596F3-8849-4700-BFE9-593F02069375}] => (Allow) E:\Torrent скачанное\The Sims 4\Game\Bin\TS4_x64.exe => Нет файла
C:\ProgramData\Windows\Profile
FirewallRules: [{D0471BC5-3DA3-4AA5-A111-2B7F28D27786}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{144DF0C8-9864-4C40-AA8C-76F50DBF4F75}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{27B19EF5-63A7-4DE5-A6F6-2A0E11198F8D}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [{F6AE8A1C-4D85-414A-8967-77251BA93F87}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{043F3909-093F-4228-996E-0CF62908DC48}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{66C649F8-4ED6-4048-8A3E-6B37FE07CFE3}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[kinder_fortune]

Done

Fixlog.txt

[thyrex]

Проблема решена?

[kinder_fortune]

Сообщение о этом трояне больше не вылетает. Проверка на вирусы тоже ничего не показывает. Надеюсь всё закончилось, как страшный сон)

Спасибо большое! Вы очень помогли!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[kinder_fortune]

Done

SecurityCheck.txt

[thyrex]

Цитата

--------------------------- [ OtherUtilities ] ----------------------------
FileZilla Client 3.50.0 v.3.50.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.21.205.1003.0005 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.310 Внимание! Скачать обновления
Zoom v.5.3.2 (53291.1011) Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Acrobat DC v.21.001.20155 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

исправляйте указанное, и на этом закончим.

[kinder_fortune]

Сделала, ещё раз спасибо!

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".