Как удалить MEM:Trojan.Multi.Agent.gen (conhost.exe calibre-parallel.exe)

[Марина Л]

Добрый день. Помогите решить проблему. После загрузки, создается файл conhost.exe в папкеC:\Windows\System32\conhost.exe. Антивирус Касперский Plus видит троян 
MEM:Trojan.Multi.Agent.gen
C:\Program Files\Calibre2\calibre-parallel.exe
C:\Windows\System32\conhost.exe
Лечит эти файлы с перезагрузкой, но после перезагрузки они появляются.
Проверка утилитами Kaspersky Virus Removal Tool и Dr.Web CureIt! Тоже безрезультатно!

Чтобы удалить вредоносное ПО Conhost.exe, выполнины так же следующие действия:
ШАГ 1: Malwarebytes Free для удаления трояна Conhost.exe
ШАГ 2: HitmanPro для сканирования на наличие вредоносных и нежелательных программ
ШАГ 3: Emsisoft Emergency Kit
ШАГ 4: AdwCleaner для удаления вредоносных политик браузера
Что то находили, удаляли все ... перезагрузка и опять файл C:\Windows\System32\conhost.exe инфицирован. Увы антивирусы это не видят. Заранее спасибо.

CollectionLog-2025.03.04-21.05.zip

Изменено 11 часов назад пользователем Марина Л
Добавление информации (программы проверки)

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Марина Л]

FRST.rar

[thyrex]

Загрузитесь в безопасном режиме и выполните написанное ниже.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [d4def136-6a3e-4f35-8da8-0ebf610366cb] => "C:\Users\Viktor\AppData\Local\Temp\{91edeacf-ade8-46a7-acdf-52447530bb61}\d4def136-6a3e-4f35-8da8-0ebf610366cb.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-595602698-1224369756-2611451884-1001\...\Run: [YandexBrowserAutoLaunch_C9FBDE0029B58C05A984129184D124B0] => "C:\Users\Viktor\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2025-02-15] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2025-02-15] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [576512 2025-02-15] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2025-02-15] (Microsoft Windows -> Microsoft Corporation)
S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [422352 2025-03-03] (Tonalio GmbH -> Sandboxie-Plus.com) <==== ВНИМАНИЕ
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-02-15] (Microsoft Windows -> Microsoft Corporation)
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
FirewallRules: [{D04809F5-441B-43F0-B71E-3D7E945F024E}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{32FDEFC4-C2BD-4E08-84B3-EF4DDAE53894}] => (Allow) C:\Users\Viktor\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Загрузитесь в обычном режиме.

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

[Марина Л]

Fixlog.txt