[РЕШЕНО] Восстанавливающиеся вирусы "HEUR:Trojan-Spy.Script.Agent.gen", "MEM:Backdoor.Win32.Insistent.gen", "HEUR:Trojan. ... .gen"

[ЕвгенийСемиряков]

Здравствуйте! Zip-файл с логами прикрепил (CollectionLog-2025.05.21-23.26.zip).

21.05.2025 (после 21:00 по МСК) установил на ноутбук Kaspersky Premium. После проверки обнаружилось несколько вирусных файлов. Сначала это были "MEM:Backdoor.Win32.Insistent.gen". Затем после нескольких очисток и перезагрузок файлы каждый раз восстанавливались и в итоге увеличились в количестве:
(ниже указал все, что показывает Касперский)
"HEUR:Trojan-Spy.Script.Agent.gen" (в больших количествах);
"MEM:Backdoor.Win32.Insistent.gen";
"HEUR:Trojan.OLE2.Alien.gen";
"HEUR:Trojan.Script.Agent.gen";
"HEUR:Trojan-PSW.Win32.Stealer.gen";
"HEUR:Trojan.Win32.Agentb.gen";
"UDS:DangerousObject.Multi.Generic";
"UDS:Trojan.Win32.Shelm";
"UDS:Trojan-Downloader.Win32.Agent.gen";
"HEUR:Trojan.Win32.Ekstak.gen";
"HEUR:Trojan.Win64.Miner.gen";
"HEUR:Trojan.VBS.Starter.gen".

Также некоторые приложения указаны как "Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя" или "Рекламное приложение". Среди них, например, "Офис 2019 Ворд, Эксель, Поверпойнт", который я скачивал с проверенного сайта.

Приложил отчёт по этим объектам (otchet_21.05.2025_23.22.txt). Логи обнаружений из журналов антивируса я, к сожалению, не нашёл.
Сразу приложу образ автозапуска системы в uVS (DESKTOP-33LHKN5_2025-05-22_00-42-41_v4.15.rar).

Пробовал решить проблему самостоятельно по этому гайду с вашего форума (прикреплю на всякий случай ниже). Выполнил в uVS скрипт из буфера обмена. Это не помогло

CollectionLog-2025.05.21-23.26.zip otchet_21.05.2025_23.22.txt DESKTOP-33LHKN5_2025-05-22_00-42-41_v4.15.rar

[safety]

3 часа назад, ЕвгенийСемиряков сказал:

Сразу приложу образ автозапуска системы в uVS (DESKTOP-33LHKN5_2025-05-22_00-42-41_v4.15.rar).

Образ автозапуска переделайте актуальной версией.

не надо выполнять скрипты из других тем, подождите пока скрипт будет создан именно по вашему образу.

[ЕвгенийСемиряков]

13 часов назад, safety сказал:

Образ автозапуска переделайте актуальной версией.

Переделал, прикрепляю

DESKTOP-33LHKN5_2025-05-22_17-44-57_v5.0.RC1.v x64.7z

[safety]

По очистке системы:

По очистке системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC1.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\SEARCHERBAR\RUN.HTA
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\30CFB4AB-009F-4384-8637-69467A15DDBC.TMP.NODE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\3DDB180C-FE10-4F4A-9766-5B3973EC22BC.TMP.NODE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\40F262A5-2D1A-44DD-A42A-5A0B2677C403.TMP.NODE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\85E43B5F-860F-46F9-8FDD-1DF7BBF4BB92.TMP.NODE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\990F9A9D-752A-4D4D-8241-68B3C347FAFB.TMP.NODE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\A5BEECEF-22FA-4A86-8D37-7D026249E48B.TMP.NODE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\D00F757A-A6AF-4F6B-99DD-100B6557740A.TMP.NODE
delall %SystemDrive%\USERS\4588~1\APPDATA\LOCAL\TEMP\A62354D3-1938-4F6D-A93B-B464E17C5ADB\DISMHOST.EXE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\E537FE34-21A7-4FFE-AA66-874880B7DA33.TMP.NODE
delall %SystemDrive%\SEARCHERBAR\RUN.HTA
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\ROAMING\.MINECRAFT\TLAUNCHER.EXE
delall %SystemDrive%\PROGRAM FILES\UTORRENTPRO\UTORRENTPRO.EXE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\ROAMING\UTORRENT\ULTRA\UTORRENTV2PRO.EXE
delall %SystemDrive%\USERS\4588~1\APPDATA\LOCAL\TEMP\.OPERA\52427338CF7B\INSTALLER.EXE
delref WDE:\WSF
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKBFNBCAEPLBCIOAKKPCPGFKOBKGHLHEN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\XIXMBUQMSDYETBZQS\MLSKYLEUMRVBKUC\KURRVAM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\360EXTREMEBROWSER.EXE
delref {018D5C66-4533-4307-9B53-224DE2ED1FE6}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\22.3.5080.64\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemRoot%\TEMP\CPUZ154\CPUZ154_X64.SYS
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.3.809\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.2.771\RESOURCES\YANDEX/BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.2.771\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.2.771\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.2.771\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.77\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.77\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\PLAY MACHINE\VKAPP.EXE
delref %SystemDrive%\PROGRAMDATA\SACK-SCREW\BIN.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено 23 мая пользователем safety

[ЕвгенийСемиряков]

14 часов назад, safety сказал:

Добавьте файл дата_времяlog.tx

Прикрепил ниже:

 

14 часов назад, safety сказал:

добавьте новые логи FRST

Прикрепил ниже оба файла:

2025-05-23_05-33-48_log.txt Addition.txt FRST.txt

 

 

Проверил сейчас через Касперского - всё чисто! Огромное Вам спасибо за работу и быстрые ответы!

[safety]

Хорошо,

если других вопросов и проблем в работе системы не осталось:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

[ЕвгенийСемиряков]

2 часа назад, safety сказал:

SecurityCheck.txt

Прикрепил ниже:

SecurityCheck.txt

[safety]

По возможности, обновите данное ПО:

 

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 7.00 (64-разрядная) v.7.00.0 Внимание! Скачать обновления

Java 8 Update 441 (64-bit) v.8.0.4410.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u451-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Opera Stable 118.0.5461.104 v.118.0.5461.104 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

 

---------------------------- [ UnwantedApps ] -----------------------------
uTorrent 8.2.8 v.8.2.8 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция
uTorrentV2 8.3.8 v.8.3.8 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция
gt-launcher 5.3.6 v.5.3.6 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Chrone Browser v.86.0.4240.198 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция
Driver Booster 12 v.12.4.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция
SearcherBar v.0.3 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция.

 

 

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".