[РЕШЕНО] Удалить MEM:Trojan.Multi.Agent.gen

[Мамай]

Здравствуйте. Антивирус постоянно находит вирус MEM:Trojan.Multi.Agent.gen в разных файлах, один постоянный connhot и еще но разные. Удаляю при перезагрузке, но при новом поиске снова находит. Помогите удалить. Отсканировал в программе Farbar Recovery Scan Tool, результат прикладываю. 

CollectionLog-2025.03.07-12.02.zip FRST.rar

[Sandor]

Здравствуйте!

 

Не нужно собирать всевозможные логи "наперёд". Всё равно их придется переделывать (как, например, в вашем случае).

 

Деинсталлируйте нежелательное ПО:

Цитата

 

AusLogics BoostSpeed

Кнопки сервисов Яндекса на панели задач

 

 

Далее:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe', '');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe', '64');
 DeleteService('GoogleUpdateTaskMachineQC');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

 

[Мамай]

FRST.rar

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  C:\Users\mamay\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  CHR HKU\S-1-5-21-1000887730-2144339883-2039653374-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-04-24] (Microsoft Windows -> Microsoft Corporation)
  S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1526272 2024-11-22] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [576512 2025-02-26] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2024-08-30] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3433472 2025-02-26] (Microsoft Windows -> Microsoft Corporation)
  AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [314]
  FirewallRules: [{B6E22117-9431-423E-9821-80BC65B386D1}] => (Allow) LPort=50053
  FirewallRules: [{6A39334F-A3C6-448D-A0DA-E1EB6C62F574}] => (Allow) LPort=50053
  FirewallRules: [{87AF952C-8E0A-4C14-822F-8A60ECCE0656}] => (Allow) LPort=53016
  FirewallRules: [{BC3219B8-EC7D-4FD2-B0E4-906B9516F6EC}] => (Allow) LPort=53015
  FirewallRules: [{BDF7F5BA-8331-4149-865E-314606E150E7}] => (Allow) LPort=53014
  FirewallRules: [{6F366EFD-C80B-4F76-A728-C6D29D2708F8}] => (Allow) LPort=43013
  FirewallRules: [{1199B0B4-C19D-4917-AEAC-BD9E1D8BC171}] => (Allow) LPort=43012
  FirewallRules: [{12F69C12-4AA1-409B-BE29-06E8EC0BB4C5}] => (Allow) LPort=33011
  FirewallRules: [{A93BC5F8-4A17-4C64-8B16-95F80BD6AB4A}] => (Allow) LPort=33010
  FirewallRules: [{245C32F8-910D-4700-B21A-C34AB10BBB14}] => (Allow) LPort=33009
  FirewallRules: [{7C41D85F-13CB-4CAA-88BD-2B102041850C}] => (Allow) LPort=23008
  FirewallRules: [{FC56BD7D-295E-4417-AE6A-D81C9F1C0022}] => (Allow) LPort=23007
  FirewallRules: [{B31C9E2A-6E6C-4992-927A-136CB558C785}] => (Allow) LPort=53016
  FirewallRules: [{88EEA4CA-E9C0-47A9-BA7A-157F93235C0B}] => (Allow) LPort=53015
  FirewallRules: [{E1716090-0EE2-485D-ABD9-9978CB77F37A}] => (Allow) LPort=53014
  FirewallRules: [{AF2BA01E-36C4-41F0-AD2D-2A5DAF6C988E}] => (Allow) LPort=43013
  FirewallRules: [{6B0B34E6-C556-48DC-AD8C-DDBE32C81AA4}] => (Allow) LPort=43012
  FirewallRules: [{4C152EA1-2CD0-466B-AFCE-33290133853D}] => (Allow) LPort=33011
  FirewallRules: [{D027DAAF-E02C-420B-9B85-CF3B6D7E5245}] => (Allow) LPort=33010
  FirewallRules: [{B3FDC1A6-4C5F-4D8E-89EA-D7B6DA105D5D}] => (Allow) LPort=33009
  FirewallRules: [{061C8E2E-EBF2-4DFF-BCB3-ECBC36B34BC1}] => (Allow) LPort=23008
  FirewallRules: [{6CCDF992-75C6-4E8A-B740-2123A377237E}] => (Allow) LPort=23007
  FirewallRules: [{C5C78FEC-C251-432B-8B09-25E0FBECD8AF}] => (Allow) LPort=57218
  FirewallRules: [{F434AC93-608C-4C23-85EE-387CFAA5EBE2}] => (Allow) LPort=57217
  FirewallRules: [{16AA5B10-5825-4BF3-A31F-F64E48807689}] => (Allow) LPort=57216
  FirewallRules: [{027B526E-03E3-4816-B0AD-99C23665F570}] => (Allow) LPort=57215
  FirewallRules: [{0F7569CF-ED28-40C4-AE84-ABC8DF51DC57}] => (Allow) LPort=57214
  FirewallRules: [{800B518C-27FF-4075-B40C-BF7B27327BF3}] => (Allow) LPort=57213
  FirewallRules: [{9E0F04DE-0F5B-4483-BDF5-C3757E3E8838}] => (Allow) LPort=57212
  FirewallRules: [{7DD2968C-89A7-4F85-99B9-D8C0C05AE3AD}] => (Allow) LPort=57211
  FirewallRules: [{1FDCE2D7-F103-4734-B9A8-9FEDE3A91DE2}] => (Allow) LPort=57210
  FirewallRules: [{FE1C4518-9950-4A73-8C35-19183EDC26FA}] => (Allow) LPort=57209
  FirewallRules: [{2178370A-1FD9-46B5-9C60-62FC78D6DE39}] => (Allow) LPort=57218
  FirewallRules: [{73D7610C-BFFF-40E3-AF4D-A3DAEF4F60D2}] => (Allow) LPort=57217
  FirewallRules: [{EF96E752-6DFB-43FE-8585-41C4EE52836B}] => (Allow) LPort=57216
  FirewallRules: [{64CF1614-513B-4498-83E6-3DE8CAAD352D}] => (Allow) LPort=57215
  FirewallRules: [{D1B24E8F-C79E-4185-8996-08E209C8E354}] => (Allow) LPort=57214
  FirewallRules: [{CC10CFE3-275E-49FD-B0F9-AE42E749B03A}] => (Allow) LPort=57213
  FirewallRules: [{E74A22C3-9873-4786-9BC5-39C22DA9AF03}] => (Allow) LPort=57212
  FirewallRules: [{4AD5C52F-D436-466D-8528-66D781A4889F}] => (Allow) LPort=57211
  FirewallRules: [{B6DD296B-0707-49E7-981A-8EC3C9792DA7}] => (Allow) LPort=57210
  FirewallRules: [{A1DE4545-C80C-43D2-B511-41B84C94F489}] => (Allow) LPort=57209
  FirewallRules: [{4A58773C-8EB3-40EC-B17F-E7FA7BEE911E}] => (Allow) LPort=57209
  FirewallRules: [{5BC2E4EA-2805-4E90-8221-C9D27CBF8439}] => (Allow) LPort=57210
  FirewallRules: [{C9E06EE4-3C0A-436A-BA9B-EC8ABB2FA75F}] => (Allow) LPort=57211
  FirewallRules: [{3C1983C3-72F9-4DFD-85BF-F011BA952F2F}] => (Allow) LPort=57212
  FirewallRules: [{91C6537F-99E9-4BE8-B8B9-6A6E9FBB18CB}] => (Allow) LPort=57213
  FirewallRules: [{54805A69-CDC3-40DF-85D9-725BBCCBB289}] => (Allow) LPort=57214
  FirewallRules: [{D717E9DE-A731-4529-8557-05F3A88C6A0D}] => (Allow) LPort=57215
  FirewallRules: [{599F97EE-DF11-475F-B3DB-786A02E216B7}] => (Allow) LPort=57216
  FirewallRules: [{D83DE01D-2434-4499-9860-C9BBFD505BD2}] => (Allow) LPort=57217
  FirewallRules: [{1E01537E-563A-4EC8-82FF-6DA7CB984E6A}] => (Allow) LPort=57218
  FirewallRules: [{206B3D65-D829-4521-8613-1D9F9D61F270}] => (Allow) LPort=57209
  FirewallRules: [{62D347D2-2127-4F6D-BA0C-0CE23BA41787}] => (Allow) LPort=57210
  FirewallRules: [{5367AC37-ACD3-4C66-B72B-47CE875779E0}] => (Allow) LPort=57211
  FirewallRules: [{08CB460B-0179-4AC8-9575-E0821121B6E5}] => (Allow) LPort=57212
  FirewallRules: [{67CBE3B2-EE5D-4E81-BA5B-0C5C11DBFB4A}] => (Allow) LPort=57213
  FirewallRules: [{9462F895-27BE-420F-AD40-E4C2C8CCD5BF}] => (Allow) LPort=57214
  FirewallRules: [{F4FD8C0D-CC35-4E90-9317-68447D6E8F5A}] => (Allow) LPort=57215
  FirewallRules: [{C00D05CD-1BD5-4BFC-ABC7-824507E0895B}] => (Allow) LPort=57216
  FirewallRules: [{1D9870EF-C32B-465E-93A1-200A6D1AD303}] => (Allow) LPort=57217
  FirewallRules: [{72A9873D-443A-4474-816C-35DE382C47AD}] => (Allow) LPort=57218
  FirewallRules: [{6508A942-6B06-4921-AC39-EF02E34A854C}] => (Allow) LPort=23007
  FirewallRules: [{439694C6-F524-4699-BB5D-309068868720}] => (Allow) LPort=23008
  FirewallRules: [{E85073E9-140B-4ACA-972A-0A750E4CEC89}] => (Allow) LPort=33009
  FirewallRules: [{D7C176DE-B5B7-4EE4-B964-0236F5D54569}] => (Allow) LPort=33010
  FirewallRules: [{AC549835-C847-4612-ADCB-617DB6068643}] => (Allow) LPort=33011
  FirewallRules: [{63428323-1D56-445C-A202-C713E3D0190B}] => (Allow) LPort=43012
  FirewallRules: [{3C2666D5-FA29-4E6C-88C3-A57B115A2FA0}] => (Allow) LPort=43013
  FirewallRules: [{2CE223AB-A418-433F-96F1-0CE40CC8D75E}] => (Allow) LPort=53014
  FirewallRules: [{D65B62D8-F0F3-4AA9-B2EF-20F2C1B40927}] => (Allow) LPort=53015
  FirewallRules: [{108C3DAE-3D97-44DA-8BF9-BE41D35A2AFD}] => (Allow) LPort=53016
  FirewallRules: [{B5FA3C93-9605-46F7-9BEA-289BBA9AB3B5}] => (Allow) LPort=23007
  FirewallRules: [{9DEE6A9A-8A2B-41CE-84DB-3DFCFC274FD9}] => (Allow) LPort=23008
  FirewallRules: [{10DB71A8-23A1-4F33-810D-9B20A285FB0D}] => (Allow) LPort=33009
  FirewallRules: [{6ADECB51-0917-4493-A45D-E78C2544BDE3}] => (Allow) LPort=33010
  FirewallRules: [{38D72C9C-8008-489C-B05E-30F3AAEAB775}] => (Allow) LPort=33011
  FirewallRules: [{D2A33E8C-02BE-492D-8534-F2322B6BE9B3}] => (Allow) LPort=43012
  FirewallRules: [{65E2BDEB-EAA1-4783-B932-90EB31C8D87D}] => (Allow) LPort=43013
  FirewallRules: [{9198F783-304E-49E7-8809-A9D0276BCEEE}] => (Allow) LPort=53014
  FirewallRules: [{8394B529-2492-4AA6-A61A-18EE0E4AF368}] => (Allow) LPort=53015
  FirewallRules: [{8D3A8916-E12C-4644-BB5D-5C5B69CCCF0C}] => (Allow) LPort=53016
  FirewallRules: [{2F9EBDBC-77D0-490F-982B-C38EE1B2D52E}] => (Allow) LPort=50053
  FirewallRules: [{FFA203DE-7D0B-409D-B384-3D52577BA7D7}] => (Allow) LPort=50053
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте этот архив, извлеките из него reg-файлы и запустите последовательно каждый. Соглашайтесь с внесением изменений в реестр.

После этого перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[Мамай]

 

Fixlog.txt

FSS.txt

Изменено 8 марта пользователем Мамай

[Sandor]

Ещё один архив с твиками скачайте и проделайте те же процедуры. После ручной перезагрузки соберите, пожалуйста, новые логи FSS.txt, FRST.txt и Addition.txt

[Мамай]

Addition.txt FRST.txt FSS.txt

[Sandor]

Сообщите, пожалуйста, решена ли основная проблема.

Судя по логам, есть некоторые неполадки с Защитником Windows. Но у вас установлен антивирус Касперского. Пытаемся дальше исправить проблему с Защитником или оставляем как есть?

[Мамай]

Сделаю полную проверку на вирусы, результат отпишу. Защитник встроенный мне не нужен. У меня вопрос, как мог этот вирус зайти если у меня постоянно работает антивирус?

[Sandor]

Подобный троян попадает в систему при установке некоего репака или активатора, чаще всего скачанного с торрента. Вероятно при его установке был запрос отключения антивируса. Точнее что-либо сказать сложно, вам виднее.

[Мамай]

Сделал полную проверку, вирусов не обнаружено. Спасибо за помощь.

[Sandor]

Отлично! В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Мамай]

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Recuva v1.53.0.2095 v.1.53.0.2095 Внимание! Скачать обновления
WinRAR 5.61 v.5.61 Внимание! Скачать обновления
Zoom v.5.0 Внимание! Скачать обновления
Skype, версия 8.99 v.8.99 Внимание! Скачать обновления
µTorrent v.3.6.0.47196 Внимание! Клиент сети P2P с рекламным модулем!.
K-Lite Mega Codec Pack 18.6.5 v.18.6.5 Внимание! Скачать обновления
Adobe Acrobat DC v.21.001.20145 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Yandex v.25.2.2.834 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.133.0.6943.142 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Reg Organizer 8.26 v.8.26 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".