conhost trojan multi agent gen

[OLEGGih]

Здравствуйте. Антивирус ругается на conhost trojan multi agent gen. При лечении с перезагрузкой удалить не может. Установлен Kaspersky Free. Помогите пожалуйста

CollectionLog-2025.03.11-15.09.zip

[safety]

добавьте дополнительно отчет по обнаружениям и сканированию из антивируса Касперского.

 

+

 

Создайте в uVS дополнительно образ автозапуска с отслеживанием процессов и задач.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

[OLEGGih]

DESKTOP-88P9AAU_2025-03-11_15-56-12_v4.99.10v x64.7z kaspersky report.txt

[safety]

Из обнаружений в логах только это:

Цитата

Сегодня, 11.03.2025 14:51:25    D:\Distr\Win10.Tweaker-10.6.exe    Win10.Tweaker-10.6.exe    D:\Distr    Файл    Обнаружено    Информация об обнаруженном объекте    Обнаружено    not-a-virus:UDS:RiskTool.MSIL.WinTweaker.gen    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    Total Commander    TOTALCMD64.EXE    C:\Program Files\Total Commander\TOTALCMD64.EXE    C:\Program Files\Total Commander    12844    DESKTOP-88P9AAU\Flera    Инициатор    Облачная защита

 

Образ сейчас проверю.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\CONHOST.EXE [7364]

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\EXPLORER.EXE [9244]

(!) Процесс нагружает CPU: C:\WINDOWS\EXPLORER.EXE

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [9244], tid=9376

 

 

Изменено 3 часа назад пользователем safety

[OLEGGih]

kaspersky report.txt

[safety]

да, спасибо, вижу по новому отчеты детект, который вы указали.

Цитата

Сегодня, 11.03.2025 11:32:18    pmem:\C:\Windows\System32\conhost.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Trojan.Multi.Agent.gen    Экспертный анализ    Файл    pmem:\C:\Windows\System32    conhost.exe    Обнаружено    Троянское приложение    Высокая    Точно    DESKTOP-88P9AAU\Flera    Активный пользователь

 

По очистке системы

 

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\FLERA\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\HNDFJOGDCEACHKBGIOGLEHONPEJCDHEM\10.39_0\SAVEFROM.NET ПОМОЩНИК
zoo %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
addsgn BA6F9BB2BD5548720B9C2D754C2168FBDA75303AC179F330CD4E8998703ED7B4DCE88BDA2BE2664B2BC809D36236A13B7BDFE8BEBC2DB72D2DBB68E38F8F7E57 8 updater 7

zoo %SystemDrive%\PROGRAM FILES (X86)\SCANITTO PRO\SCANITTOPRO_LDR.EXE
addsgn 925277FA116AC1CC0B64554EA34F8EE5218A411E5F6848FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 15 winlock.0901 7

chklst
delvir

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\98.0.4758.102\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\98.0.4758.102\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\98.0.4758.102\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\98.0.4758.102\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\98.0.4758.102\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.35\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.35\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
;-------------------------------------------------------------
regt 40
restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте архив ZOO_дата_время.7z из папки, откуда запускали uVS

Добавьте логи FRST для контроля очистки.

Изменено 18 часов назад пользователем safety

[OLEGGih]

FRST.txt 2025-03-11_16-26-40_log.txt ZOO_2025-03-11_16-26-39.7z

[safety]

Судя по логу выполнения скрипта очистка успешная,

Завершение процессов...
Успешно выгружен C:\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE [pid=3588]
Удаление ссылок...
Удаление файлов...
--------------------------------------------------------------------------------------------------
Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 3 из 3

 

Проверю что по логам FRST будет

 

Продолжаем очистку системы

 

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

следу.ющие твики для исправления поврежденных служб:

Цитата

 

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

 

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-15] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2024-12-11] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [576512 2025-02-11] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-09-10] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-02-11] (Microsoft Windows -> Microsoft Corporation)
U4 DiagTrack; отсутствует ImagePath
U4 dmwappushservice; отсутствует ImagePath
2025-03-11 16:26 - 2022-03-16 19:26 - 000000000 ____D C:\Program Files (x86)\Scanitto Pro
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверяем работоспособность системы.

Добавьте новые логи FRST (FRST.txt и Addition.txt) для контроля.

Изменено 17 часов назад пользователем safety

[OLEGGih]

Большое спасибо за помощь!

Addition.txt FRST.txt Fixlog.txt

[safety]

Судя по новым логам,

служба зловреда, которая добавляла вредоносные потоки в системный процесс EXPLORER.EXE, удалена (скриптом в uVS),

поддельные службы, которые блокировали работу системных служб, так же удалены.

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[OLEGGih]

SecurityCheck.txt

[safety]

Судя по SecurityCheck, блокированные зловредом службы теперь работают:

 

Цитата

Фоновая интеллектуальная служба передачи (BITS) (BITS) - Служба работает
Оптимизация доставки (DoSvc) - Служба работает
Служба оркестратора обновлений (UsoSvc) - Служба работает
Служба Medic центра обновления Windows (WaaSMedicSvc) - Служба работает
Центр обновления Windows (wuauserv) - Служба работает

 

 

Эту программу можно удалить через установку/удаление программ:

Unchecky v1.2 v.1.2 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.

 

По возможности, обновите указанное ПО:

CrystalDiskInfo 8.15.2 v.8.15.2 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2021 - ru-ru v.16.0.14332.20238 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
AnyDesk v.ad 7.0.15 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.31.31103 v.14.31.31103.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.31.31103 v.14.31.31103.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.25.020.0202.0001 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.10 (64-разрядная) v.6.10.0 Внимание! Скачать обновления
Microsoft Teams classic v.1.7.00.17051 Внимание! Скачать обновления
Zoom v.5.16.10 (26186) Внимание! Скачать обновления
Windscribe v.2.4.10 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46206 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.v5.01.2358, 28.12.2021 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^
K-Lite Mega Codec Pack 16.8.0 v.16.8.0 Внимание! Скачать обновления
Yandex v.25.2.2.834 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. 
 

 

 

Изменено 36 минут назад пользователем safety

[OLEGGih]

Огромное спасибо за помощь!