Вирус MEM:Trojan.Win64.EquationDrug.gen в System Memory
Здравствуйте.
На ПК в организации установлен Kapersky Endpoint Security 10 для Windows 10.3.0.6294. Периодически выходит сообщение, что в System Memory находится вирус MEM:Trojan.Win64.EquationDrug.gen. При нажатии Лечить с перезагрузкой начинается лечение, но Windows падает с синим экраном, после перезагрузки автоматически запускается проверка антивирусом, но больше сообщений о вирусе не выходит. Через полдня-суток опять всё повторяется. Пробовал скачать Kaspersky Virus Removal Tool для проверки, он также находит, также пытается вылечить, также появляется синий экран смерти и тот же итог: вирус со временем появляется вновь.
Ещё для информации: не могу загрузится в безопасном режиме, система долго пытается загрузиться и уходит на перезагрузку.
uri
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) yakutin.ua, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Дополняю: в Хранилище указан троян MEM:Trojan.Win32.SEPEH.gen в System Memory. А в Карантине указан троян HEUR:Trojan.Win32.Generic в файле C:\Windows\System32\WindowsProtocolHost.dll.
Последний раз редактировалось yakutin.ua; 23.04.2019 в 10:14.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
CloseProcesses:
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
NETSVC: WindowsProtocolHost -> no filepath.
2018-01-22 10:42 - 2018-03-27 10:09 - 000000004 _____ () C:\ProgramData\lock.dat
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:1033 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:1083 [0]
AlternateDataStreams: C:\Windows\SysWOW64\MSIHANDLE:1181 [0]
FirewallRules: [{DBA8AEDB-50EF-4F1E-9B99-920DB32111B0}] => (Allow) C:\Program Files\Intel Corporation\Intel WiDi\WiDiApp.exe No File
FirewallRules: [{FFFB1035-C169-4B24-900F-2152ACADB821}] => (Allow) C:\Program Files\Intel Corporation\Intel WiDi\WiDiAppOld.exe No File
FirewallRules: [{49C91753-3DBA-4708-8AA7-BBF431CEB596}] => (Allow) C:\Program Files\Intel Corporation\Intel WiDi\Next\WirelessDisplay.exe No File
FirewallRules: [{92C46163-D3AB-4BC7-AB97-1D9A8157AC9A}] => (Allow) C:\Program Files\Intel Corporation\Intel WiDi\SmartAgentTest.exe No File
FirewallRules: [{6B54FF13-9A5E-462E-BEE8-2467CDE53609}] => (Allow) C:\Program Files\Intel Corporation\USB over IP\bin\UoipService.exe No File
FirewallRules: [{597353C0-4402-4129-9A5A-7D5413E0A33E}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
FirewallRules: [{D46A0748-192C-4185-A1C6-D084487AD6F8}] => (Allow) C:\Program Files\Opera\58.0.3135.79\opera.exe No File
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами. И вашу проблему может решить.
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Endpoint Security 10 для Windows (выключен и устарел)
Fixlog.txt вложил в сообщение.
Антивирус я в момент запуска программ, которые Вы предложили запустить, чтобы собрать логи отключал. Базы антивирус показывает от 23.04.2019.
Обновления Windows сейчас буду устанавливать.
Спасибо за помощь! После Ваших советов и выполнения скриптов полная проверка вирус больше не обнаружила!
P.S.: Только вот не все обновления KB установились, в т.ч. KB4012212 (ошибка установки обновления).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
