Вирус, который постоянно удаляется, но возвращается

[Asker225]

Вирус именуется MEM:Trojan.Win64.Cobalt.gen.
Находится в системной памяти, компьютер вроде не нагружает, но крайне напрягает.
Логи:

CollectionLog-2024.03.28-04.01.zip

[safety]

 

Quote

Вирус именуется MEM:Trojan.Win64.Cobalt.gen.

данный детект происходит в Windows Defender или в антивирусе Касперского?

добавьте, пожалуйста, логи обнаружений из журналов антивируса.

+

+

Добавьте дополнительно образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 28 марта, 2024 пользователем safety

[Asker225]

Обнаруживает в Касперском.
Вот логи Касперского и автологгераDESKTOP-K4PNU0M_2024-03-28_13-53-34_v4.15.1.7zLog.txt

[safety]

Quote

 

Сегодня, 28.03.2024 3:43:45    System Memory    Не обработано    Лечение невозможно    MEM:Trojan.Win64.Cobalt.gen    Отложено    Файл        System Memory    Не обработано    Троянская программа    Высокая    Точно    DESKTOP-K4PNU0M\ASUS    Активный пользователь

 

Сегодня, 28.03.2024 3:44:27    C:\Program Files\Process Hacker 2\ProcessHacker.exe    Не обработано    Лечение невозможно    not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen    Отложено    Файл    C:\Program Files\Process Hacker 2    ProcessHacker.exe    Не обработано    Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя    Низкая    Эвристический анализ    DESKTOP-K4PNU0M\ASUS    Активный пользователь

 

 

да, угрозы критические: одна из них может быть использована для удаленного управления, другая - для выгрузки защитного ПО.

 образ автозапуска сейчас проверю.

Изменено 28 марта, 2024 пользователем safety

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADSKLICENSING\CURRENT\ADSKLICENSINGSERVICE\ADSKLICENSINGSERVICE.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADSKLICENSING\12.1.0.7121\ADSKLICENSINGSERVICE\ADSKLICENSINGSERVICE.EXE
zoo %SystemDrive%\USERS\ASUS\APPDATA\ROAMING\MICROSOFT\WINDOWS\RAW.DB
hide %SystemDrive%\PROGRAM FILES (X86)\DIA\BIN\DIA.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ASUS\APPDATA\ROAMING\MICROSOFT\WINDOWS\RAW.DB
delall %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\DSO4R9H5N3JYX2BK
delall %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\HJVXIVXUFMGKFTVW
delall %Sys32%\DRIVERS\05C0E467.SYS
zoo %SystemDrive%\PROGRAM FILES\PROCESS HACKER 2\PROCESSHACKER.EXE
addsgn BA6F9BB2BDD94E720B9C2D754C2160FBDA75303AC179F3506DF8CDBC5053B13802728BDC3A70AD492B80CC140E1EA2FF35E4200641E970DC65781522EB5E2573 26 RiskTool.Win32.ProcHack.gen [Kaspersky] 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP=127.0.0.1:1380;HTTPS=127.0.0.1:1380
apply

deltmp
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\MICROSOFT\TEAMS\UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\SHELLEX.DLL
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\85.0.564.67\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2106.6-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemRoot%\TEMP\CPUZ150\CPUZ150_X64.SYS
delref %SystemRoot%\TEMP\CPUZ152\CPUZ152_X64.SYS
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SOURCE ENGINE\OSE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\THE ELDER SCROLLS V SKYRIM - ANNIVERSARY EDITION\DATA\TOOLS\GENERATEFNIS_FOR_USERS\GENERATEFNISFORUSERS.EXE
delref %SystemDrive%\GAMES\ALIENS VS PREDATOR 2\AVP2.EXE
delref %SystemDrive%\GAMES\ALIENS VS PREDATOR 2\AVP2-RUS.EXE
delref %SystemDrive%\GAMES\ALIENS VS PREDATOR 2\UNWISE.EXE
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\PYTHON.EXE
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\DOC\PYTHON397.CHM
delref %SystemDrive%\PROGRAM FILES (X86)\UBISOFT\UBISOFT GAME LAUNCHER\UBISOFTCONNECT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\UBISOFT\UBISOFT GAME LAUNCHER\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\AUTODESK\MAYA2022\BIN\MAYA.EXE
delref %SystemDrive%\GOG GAMES\EDNA & HARVEY - THE BREAKOUT (ANNIVERSARY EDITION)\EDNA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\HUMANKIND\HUMANKIND.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KERBAL SPACE PROGRAM 2\KSP2_X64.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KERBAL SPACE PROGRAM\KSP_X64.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой детекта в памяти Cobalt.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные собщения).

 

+

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Изменено 28 марта, 2024 пользователем safety

[Asker225]

Вирус Cobalt не обнаружен

2024-03-28_15-34-31_log.txt

[safety]

Хорошо, этот файл,

C:\USERS\ASUS\DOWNLOADS\UVS_LATEST\ZOO_2024-03-28_15-34-31

загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения)

+

логи FRST нужны для контроля.

Изменено 30 марта, 2024 пользователем safety