Trojan.Multi.Agent

[AndreyL.]

Добрый день. Сразу скажу компьютер не мой, помогаю родственникам удаленно, использую RUSTDESK , В общем скачали ребенку книгу и через время Касперский выполнил автоматическую проверку и выявил нахождения трояна в памяти, естественно еще раз проверил  и Касперским и DrWeb. Все так же поругались на трояна в памяти после процедуры лечения предложили перезагружаться, но как понимаете результата не дало.

Файлы автологгера прикрепил + скрин с каспера.    

CollectionLog-2025.05.11-11.11.zip

[thyrex]

Здравствуйте.

 

Загрузитесь в безопасном режиме.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
 QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe','');
 SetServiceStart('GoogleUpdateTaskMachineQC', 4);
 DeleteService('GoogleUpdateTaskMachineQC');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Загрузитесь в обычном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[AndreyL.]

Готово

CollectionLog-2025.05.11-13.58.zip

Строгое предупреждение от модератора thyrex

Карантин удален

[thyrex]

Карантин отправьте так, как было написано в моем предыдущем сообщении, а не прикрепляйте к сообщению.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[AndreyL.]

Имя карантин-а(ов) сообщите в теме:
2025.05.11_quarantine_4dfc79733852b687ab2ec85a5d8378bb.7z

 

 

FRSR.7z

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-780576615-4123533844-136807740-1001\...\Run: [GoogleUpdateTaskMachineQC] => C:\Users\Lenovo\AppData\Roaming\Sandboxie\sandboxie.exe [422352 2025-05-05] (Tonalio GmbH -> Sandboxie-Plus.com) <==== ВНИМАНИЕ
2025-05-05 21:33 - 2025-05-05 21:33 - 000000000 ____D C:\Users\Lenovo\AppData\Roaming\Sandboxie
Task: {B85F0F92-C158-4F3B-8690-507E0B73CCA8} - System32\Tasks\Lenovo\Vantage\Schedule\VantageTelemetryAddinTask => C:\Program Files (x86)\Lenovo\VantageService\3.6.15.0\ScheduleEventAction.exe  VantageTelemetryAddinTask (Нет файла)
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-05-16] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1526272 2024-12-11] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [583168 2025-04-14] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2025-04-14] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3433472 2025-03-13] (Microsoft Windows -> Microsoft Corporation)
Toolbar: HKU\S-1-5-21-780576615-4123533844-136807740-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
FirewallRules: [{2857C0C2-32FD-4236-ABB7-BC2C491F8B93}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => Нет файла
FirewallRules: [{75F68393-8208-494B-8B91-7B7AB4855277}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => Нет файла
FirewallRules: [{6302201F-20B4-41F6-A172-2E5BE207BE03}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{A94D7B16-7DAC-4F81-B234-66B35C6EC53E}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{7C3E990E-FB84-4E41-A42C-40A4B3A002D9}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => Нет файла
FirewallRules: [{40926686-C8B2-41F0-B767-2A6AEED52B94}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => Нет файла
FirewallRules: [{E8293FF7-1640-446C-842D-E0D9C02B50BE}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => Нет файла
FirewallRules: [{4ECFB2FB-86AC-4CCE-9C0D-72D60C632CF7}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => Нет файла
FirewallRules: [{035EC97E-B953-4C42-B2D8-1E40AF2EA922}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{B2E66E7B-B24C-4A27-8D5F-D2D6F6C3A0DA}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{940DA754-2225-4EA9-A1DF-593EBD1D07FA}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => Нет файла
FirewallRules: [{D2D13D09-936D-4D9F-84C9-295F1CBCBE8F}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => Нет файла
FirewallRules: [{016C8F59-CFFE-49B1-89D0-C544817681FF}] => (Allow) C:\Users\Lenovo\AppData\Local\Programs\Opera\72.0.3815.148\opera.exe => Нет файла
FirewallRules: [{5498CE4A-5937-4ED2-BB77-8681B2324AAA}] => (Allow) C:\Users\Lenovo\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{F43B2CF9-AAF1-4511-B616-A1330E6A4B82}] => (Allow) C:\Users\Lenovo\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{FF4EC078-2FF3-4DF1-94AC-E13F9886EC4C}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MMSSHost\MMSSHost.exe => Нет файла
FirewallRules: [{835C09DD-8CBB-4F24-B84D-134BCA41EFF1}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe => Нет файла
FirewallRules: [{C88322DB-6D79-4BAB-879B-5E89B7A19C4F}] => (Allow) C:\Users\Lenovo\AppData\Local\Temp\7zS5EF2\HPEasyStart\HP.EasyStart.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

[AndreyL.]

1 пункт просто скопировать, выполнять его в каком ПО нужно?

 

[AndreyL.]

FRSR.7z

[thyrex]

59 минут назад, AndreyL. сказал:

выполнять его в каком ПО нужно?

читайте внимательно продолжение инструкции сразу после скрипта.

 

Ждем нужный лог.