Восстанавливающиеся вирусы "HEUR:Trojan-Spy.Script.Agent.gen", "MEM:Backdoor.Win32.Insistent.gen", "HEUR:Trojan. ... .gen"

[ЕвгенийСемиряков]

Здравствуйте! Zip-файл с логами прикрепил (CollectionLog-2025.05.21-23.26.zip).

21.05.2025 (после 21:00 по МСК) установил на ноутбук Kaspersky Premium. После проверки обнаружилось несколько вирусных файлов. Сначала это были "MEM:Backdoor.Win32.Insistent.gen". Затем после нескольких очисток и перезагрузок файлы каждый раз восстанавливались и в итоге увеличились в количестве:
(ниже указал все, что показывает Касперский)
"HEUR:Trojan-Spy.Script.Agent.gen" (в больших количествах);
"MEM:Backdoor.Win32.Insistent.gen";
"HEUR:Trojan.OLE2.Alien.gen";
"HEUR:Trojan.Script.Agent.gen";
"HEUR:Trojan-PSW.Win32.Stealer.gen";
"HEUR:Trojan.Win32.Agentb.gen";
"UDS:DangerousObject.Multi.Generic";
"UDS:Trojan.Win32.Shelm";
"UDS:Trojan-Downloader.Win32.Agent.gen";
"HEUR:Trojan.Win32.Ekstak.gen";
"HEUR:Trojan.Win64.Miner.gen";
"HEUR:Trojan.VBS.Starter.gen".

Также некоторые приложения указаны как "Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя" или "Рекламное приложение". Среди них, например, "Офис 2019 Ворд, Эксель, Поверпойнт", который я скачивал с проверенного сайта.

Приложил отчёт по этим объектам (otchet_21.05.2025_23.22.txt). Логи обнаружений из журналов антивируса я, к сожалению, не нашёл.
Сразу приложу образ автозапуска системы в uVS (DESKTOP-33LHKN5_2025-05-22_00-42-41_v4.15.rar).

Пробовал решить проблему самостоятельно по этому гайду с вашего форума (прикреплю на всякий случай ниже). Выполнил в uVS скрипт из буфера обмена. Это не помогло

CollectionLog-2025.05.21-23.26.zip otchet_21.05.2025_23.22.txt DESKTOP-33LHKN5_2025-05-22_00-42-41_v4.15.rar

[safety]

3 часа назад, ЕвгенийСемиряков сказал:

Сразу приложу образ автозапуска системы в uVS (DESKTOP-33LHKN5_2025-05-22_00-42-41_v4.15.rar).

Образ автозапуска переделайте актуальной версией.

не надо выполнять скрипты из других тем, подождите пока скрипт будет создан именно по вашему образу.

[ЕвгенийСемиряков]

13 часов назад, safety сказал:

Образ автозапуска переделайте актуальной версией.

Переделал, прикрепляю

DESKTOP-33LHKN5_2025-05-22_17-44-57_v5.0.RC1.v x64.7z

[safety]

По очистке системы:

По очистке системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC1.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\SEARCHERBAR\RUN.HTA
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\30CFB4AB-009F-4384-8637-69467A15DDBC.TMP.NODE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\3DDB180C-FE10-4F4A-9766-5B3973EC22BC.TMP.NODE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\40F262A5-2D1A-44DD-A42A-5A0B2677C403.TMP.NODE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\85E43B5F-860F-46F9-8FDD-1DF7BBF4BB92.TMP.NODE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\990F9A9D-752A-4D4D-8241-68B3C347FAFB.TMP.NODE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\A5BEECEF-22FA-4A86-8D37-7D026249E48B.TMP.NODE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\D00F757A-A6AF-4F6B-99DD-100B6557740A.TMP.NODE
delall %SystemDrive%\USERS\4588~1\APPDATA\LOCAL\TEMP\A62354D3-1938-4F6D-A93B-B464E17C5ADB\DISMHOST.EXE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\E537FE34-21A7-4FFE-AA66-874880B7DA33.TMP.NODE
delall %SystemDrive%\SEARCHERBAR\RUN.HTA
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\ROAMING\.MINECRAFT\TLAUNCHER.EXE
delall %SystemDrive%\PROGRAM FILES\UTORRENTPRO\UTORRENTPRO.EXE
delall %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\ROAMING\UTORRENT\ULTRA\UTORRENTV2PRO.EXE
delall %SystemDrive%\USERS\4588~1\APPDATA\LOCAL\TEMP\.OPERA\52427338CF7B\INSTALLER.EXE
delref WDE:\WSF
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKBFNBCAEPLBCIOAKKPCPGFKOBKGHLHEN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\XIXMBUQMSDYETBZQS\MLSKYLEUMRVBKUC\KURRVAM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\360EXTREMEBROWSER.EXE
delref {018D5C66-4533-4307-9B53-224DE2ED1FE6}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\22.3.5080.64\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemRoot%\TEMP\CPUZ154\CPUZ154_X64.SYS
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.3.809\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.2.771\RESOURCES\YANDEX/BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.2.771\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.2.771\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.2.771\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.77\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.77\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\USERS\МАКСИМ И ЕВГЕНИЙ\APPDATA\LOCAL\PLAY MACHINE\VKAPP.EXE
delref %SystemDrive%\PROGRAMDATA\SACK-SCREW\BIN.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено 13 часов назад пользователем safety

[ЕвгенийСемиряков]

2 часа назад, safety сказал:

Добавьте файл дата_времяlog.tx

Прикрепил ниже:

 

2 часа назад, safety сказал:

добавьте новые логи FRST

Прикрепил ниже оба файла:

2025-05-23_05-33-48_log.txt Addition.txt FRST.txt

[ЕвгенийСемиряков]

 

Проверил сейчас через Касперского - всё чисто! Огромное Вам спасибо за работу и быстрые ответы!

[safety]

Хорошо,

если других вопросов и проблем в работе системы не осталось:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.