Windows7 Endpoint ругается на MEM:Trojan.Win64.EquationDrug.gen / System Memory

**DjDenos** · 08.10.2024, 16:09

Рабочая машина на win7 настроена в 2019 году. Имеется каспер endpoint security. Лицензия корпоративная закончилась много лет назад. К Интернет ранее не подключалась. Для надстройки были добавлены AnyDesk и Oracle VM. Также был заход в браузер: листал форумы по Линуксу - надо было шару поставить с этой же машиной. И, короче, примерно после этого начал ругаться. Но, зайдя в журналы, обнаружено, что каспер ранее не проводил проверку на вирусы. Машина в работе с июня этого года, проверки начались в начале сентября. Мог ли каспер от подключения к Интернет "запуститься в работу"? Соответственно мог ли вирус присутствовать ранее?

К процессу проверки:
Начали выскакивать окна от KES, выбрано " Лечение с перезагрузкой" и соответственно ничего - полчаса от перезагрузки и снова окна.

Прогнал dr.web cureit в БР - обнаружил dllhostex.exe и одну библиотеку dll . Тоже ничего.

Поставил KVRT - обнаружил 58 объектов. Вылечил часть перемещением в карантин. Сейчас находит 3 объекта.

Endpoint ругается на MEM:Trojan.Win64.EquationDrug.gen / System Memory

KVRT на этот объект "лечение на возможно". В первую проверку попытался удалить раздел в реестре. Увы, не догадался сфотографировать. При повторном лечении ничего не происходит.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.10.2024, 16:11

Уважаемый(ая) DjDenos, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**DjDenos** · 08.10.2024, 16:31

Только что просканировал kvrt обнаружен 1 объект MEM:Trojan.Win64.EquationDrug.gen / System Memory

- - - - -Добавлено - - - - -

Последняя проверка kvrt

**Vvvyg** · 08.10.2024, 18:23

KES и с базами за 2019-й год, небось? Лучшу деинсталлировать.
Система тоже не обновлялась с тех же времён?

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - MountPoints2: HKCU\..\{3b239f4d-655e-11ef-a825-00187dc56695}\shell\AutoRun\command: (default) = еЌЋдёєж‰‹жњєеЉ©ж‰‹е®‰иЈ…еђ‘еЇј.exe (file missing)
O22 - Tasks: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Tasks: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O23 - Service S3: Google Chrome Elevation Service - (GoogleChromeElevationService) - C:\Program Files (x86)\Google\Chrome\Application\75.0.3770.80\elevation_service.exe (file missing)
O23 - Service S3: Служба Google Update (gupdatem) - (gupdatem) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /medsvc (file missing)

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

**DjDenos** · 08.10.2024, 21:21

Да, ни KES, ни ОС не обновлялись.

Архив https://ru.files.me/u/e9kbqhbfx2

**Vvvyg** · 09.10.2024, 06:54

Обновите систему, автоматически, или с помощью Windows 7 Update-Pack by DrWindows August 2023 - 64 Bit, детект должен уйти.
Хотя логичнее установить 10-ку и не мучиться с системой. которая давно снята с поддержки.

**DjDenos** · 09.10.2024, 10:50

Понял Вас. Спасибо. Это в итоге вирус был, системная ошибка или по своим алгоритмам ругался?

Открыл в c:\windows\networkdistribution на двух машинах файлы process*.txt:
на "210" (с которой работали) машине есть targetip с адресом другой машины "240" в этой же локальной сети (в которой каспер ругался на тот же вирус).

На испытываемой 210 машине вчера проверял через KVRT - угроз не найдено. Но... и на 240 местный KES перестал ругаться. На 240 KVRT угрозы находит такой же MEM Trojan ED в system memory. Могла ли быть надстройка этих двух машин на безоговорочной доступ, который KES и KVRT определили как вирус? Или все-таки какая-то дрянь проникла?

- - - - -Добавлено - - - - -

Закончился скан сегодняшний KVRT на искомой машине - угроз не обнаружено

**Vvvyg** · 09.10.2024, 22:07

По описанию на сайте Касперского это должны быть именно трояны, но детект MEM:Trojan.Win64.EquationDrug.gen - именно и только в памяти - по опыту, связан именно с критическими уязвимостями в системе.
Майнеры и трояны в папке c:\windows\networkdistribution именно через дыры в непропатченной Windows iраспространялись.

**DjDenos** · 10.10.2024, 17:41

Спасибо. Здесь перестал ругаться KES, KVRT тоже не видит, буду ставить обновы. Тему можно закрывать. Надеюсь через время не начнет голосить)

Windows7 Endpoint ругается на MEM:Trojan.Win64.EquationDrug.gen / System Memory (заявка № 228766)

Опции темы