Перейти к содержанию
Правила раздела

[РЕШЕНО] Trojan.Win64.Miner.gen, MEM:Backdoor.Win32.Insistent.gen

Ольга Кот

Автор Ольга Кот
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Ольга Кот Новичок

Ольга Кот

Опубликовано
Опубликовано

Здравствуйте!

Антивирус выявил вредоносные приложения (скрин прилагаю). Trojan и MEM:Backdoor.Win32.Insistent.gen.  Всегда ссылается на файл svchost.exe и еще может подтянуть другие. "Лечение с перезагрузкой" не помогает, пробовали руками удалять папки, но после перезагрузки все восстанавливается. Скорее всего подцепили эту заразу в 24.06 - 27.06, ноутбук периодически стал шуметь в спящем режиме и греться, майнингом не занимаемся. Просим оказать содействие в решении этих проблем. Скачала сразу программу для логов, прилагаю файл.

2025-07-01_15-24-12.png

CollectionLog-2025.07.01-15.08.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Сделайте в uVS дополнительно образ автозапуска с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.
2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1  Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, (3.1 пропускаем) 4, 5, 6.

 

Если запросили обычный образ автозапуска, переходим сразу к п.4

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

По образу:

есть поток, внедренный в syswow64\svchost.exe

image.png

Образ сейчас проверю, напишу скрипт очистки.

Отслеживание процессов и задач не включено

image.png

Написано:

3.1  Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню uVS выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, (3.1 пропускаем) 4, 5, 6.

Надо переделать образ, чтобы было включено отслеживание.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Ольга Кот Новичок

Ольга Кот

Опубликовано
  • Автор
Опубликовано

Переделала, надеюсь получилось. я зашла заново в п.2, запустила под текущим пользователем, потом зашла в твики, нажала 39й, обновила список и сохранила образ

DESKTOP-JNC05F1_2025-07-01_16-26-56_v5.0.RC3.v x64.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Сейчас все ок.

Эта задача интересовала

Цитата

    <Exec>
      <Command>C:\ProgramData\PictureComposer-6215f525-19fd-407e-9248-c9dd3e91e43c\PictureComposer.exe</Command>
      <Arguments>--launch</Arguments>
    </Exec>

Ждем скрипт очистки.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Выполните очистку системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\CSAMSP.DLL
zoo %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\PROGRAMS\81CD665E\D1CB110983.MSI
;------------------------autoscript---------------------------

delref %SystemRoot%\SYSWOW64\CSAMSP.DLL
del %SystemRoot%\SYSWOW64\CSAMSP.DLL
delall %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\PROGRAMS\81CD665E\D1CB110983.MSI
apply

regt 27
deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\PROGRAMS\OPERA\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\NPGOOGLEUPDATE3.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\IALPSS2_SPI.SYS
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %Sys32%\DRIVERS\IALPSS2_UART2_CNL.SYS
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.183\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.183\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.183\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.93\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.113\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте файл ZOO****.7z из папки с uVS в ваше сообщение

+

добавьте новые логи FRST для контроля

Ссылка на комментарий
Поделиться на другие сайты
Ольга Кот Новичок

Ольга Кот

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь, уведомление от Антивируса не выскочило после перезагрузки. Прикрепляю файлы

CollectionLog-2025.07.01-17.03.zip ZOO_2025-07-01_16-57-05.7z 2025-07-01_16-57-05_log.txt DESKTOP-JNC05F1_2025-07-01_17-09-12_v5.0.RC3.v x64.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Судя по последнему образу, цепочку запуска майнера мы разрушили.

 

детект вредоносной dll (CSAMSP.vDLL)

https://www.virustotal.com/gui/file/68ae1ab1afd6763669df74f6a9e8c99380dce89d1bb8f59a8bc7c5db637cd8e6?nocache=1

ESET-NOD32 A Variant Of Win32/ShellcodeRunner.PI

DrWeb Trojan.Loader.1907

Kaspersky Undetected

 

Для контроля сделайте пожалуйста, логи FRST.

Цитата

добавьте новые логи FRST для контроля

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR HomePage: Profile 1 -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Profile 1 -> "hxxps://find-it.pro/?utm_source=distr_m"
[2025-06-25] [UpdateUrl:hxxps://clients65.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (Xfinder.pro) - C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2025-06-25]
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: System Profile -> hxxps://xfinder.pro/q?q={searchTerms}
CHR DefaultSearchKeyword: System Profile -> xfinder.pro
CHR DefaultSuggestURL: System Profile -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms}
Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2025-06-25] [UpdateUrl:hxxps://clients47.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (Xfinder.pro) - C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
YAN Extension: (Find-it.Pro Search) - C:\Users\USKdmin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
2025-07-01 12:14 - 2025-07-01 16:57 - 000000000 __SHD C:\ProgramData\PictureComposer-6215f525-19fd-407e-9248-c9dd3e91e43c
2025-07-01 12:14 - 2025-07-01 12:14 - 001214770 _____ C:\Windows\SysWOW64\crisp383.dat
2025-06-29 21:30 C:\Program Files\RDP Wrapper
2025-06-29 21:30 C:\Program Files (x86)\360
2025-06-29 21:30 C:\ProgramData\RDP Wrapper
2025-06-29 21:30 C:\ProgramData\ReaItekHD
2025-06-29 21:30 C:\ProgramData\Setup
2025-06-29 21:30 C:\ProgramData\Windows Tasks Service
2025-06-29 21:30 C:\ProgramData\WindowsTask
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
Ольга Кот Новичок

Ольга Кот

Опубликовано
  • Автор
Опубликовано (изменено)

Очистку загрузила, а вот заархивировать не могу, похоже, Винрар нужно установить. Сделаю завтра

Fixlog.txt

2025-07-01_21-24-08.png

Изменено пользователем Ольга Кот
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Feanor
      HEUR:Trojan.Win64.Miner.gen и MEM:Backdoor.Win32.Insistent.gen
      Автор Feanor
      Здравствуйте, в последнее время системный блок начал сильно шуметь и грузиться процессор, в диспетчере задач обнаружил процесс с "Утилитой поиска строк (GREP)" пытаясь устранить проблему скачал и установил антивирус. При сканировании обнаружились выше указанные вирусы, которые при лечении и перезагрузке появляются снова
      CollectionLog-2025.03.12-19.38.zip
    • Kafetto
      Вирусы HEUR:Trojan.Win64.Miner.gen и MEM:Backdoor.Win32.Insistent.gen
      Автор Kafetto
      Добрый день!
      После скачивания и установки читов (если будет нужно, могу предоставить потенциально заражённый файл) на игру заметил, что ноутбук начал сильно шуметь и греться. Затем увидел в диспетчере задач использование видеокарты 100% в состоянии покоя и скачал Касперский антивирус. Он обнаружил следующие вирусы:
      HEUR:Trojan.Win32.Agentb.gen
      UDS: Trojan-Downloader.Win32.Agent.gen
      HEUR:Trojan.Win32.Inject.gen
      MEM:Backdoor.Win32.Insistent.gen
      MEM:Backdoor.Win32.Insistent.gen
      HEUR:Trojan.Win64.Miner.gen
      После лечение и перезагрузки они вновь появляются, ничего не помогает.
      Также пробовал удалять их, тоже безрезультатно.
      Прикладываю скриншоты обнаружения:






      Также прикладываю файл с логами:
      CollectionLog-2025.03.01-21.30.zipCollectionLog-2025.03.01-21.30.zip
    • ЕвгенийСемиряков
      [РЕШЕНО] Восстанавливающиеся вирусы "HEUR:Trojan-Spy.Script.Agent.gen", "MEM:Backdoor.Win32.Insistent.gen", "HEUR:Trojan. ... .gen"
      Автор ЕвгенийСемиряков
      Здравствуйте! Zip-файл с логами прикрепил (CollectionLog-2025.05.21-23.26.zip).

      21.05.2025 (после 21:00 по МСК) установил на ноутбук Kaspersky Premium. После проверки обнаружилось несколько вирусных файлов. Сначала это были "MEM:Backdoor.Win32.Insistent.gen". Затем после нескольких очисток и перезагрузок файлы каждый раз восстанавливались и в итоге увеличились в количестве:
      (ниже указал все, что показывает Касперский)
      "HEUR:Trojan-Spy.Script.Agent.gen" (в больших количествах);
      "MEM:Backdoor.Win32.Insistent.gen";
      "HEUR:Trojan.OLE2.Alien.gen";
      "HEUR:Trojan.Script.Agent.gen";
      "HEUR:Trojan-PSW.Win32.Stealer.gen";
      "HEUR:Trojan.Win32.Agentb.gen";
      "UDS:DangerousObject.Multi.Generic";
      "UDS:Trojan.Win32.Shelm";
      "UDS:Trojan-Downloader.Win32.Agent.gen";
      "HEUR:Trojan.Win32.Ekstak.gen";
      "HEUR:Trojan.Win64.Miner.gen";
      "HEUR:Trojan.VBS.Starter.gen".

      Также некоторые приложения указаны как "Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя" или "Рекламное приложение". Среди них, например, "Офис 2019 Ворд, Эксель, Поверпойнт", который я скачивал с проверенного сайта.

      Приложил отчёт по этим объектам (otchet_21.05.2025_23.22.txt). Логи обнаружений из журналов антивируса я, к сожалению, не нашёл.
      Сразу приложу образ автозапуска системы в uVS (DESKTOP-33LHKN5_2025-05-22_00-42-41_v4.15.rar).

      Пробовал решить проблему самостоятельно по этому гайду с вашего форума (прикреплю на всякий случай ниже). Выполнил в uVS скрипт из буфера обмена. Это не помогло


      CollectionLog-2025.05.21-23.26.zip otchet_21.05.2025_23.22.txt DESKTOP-33LHKN5_2025-05-22_00-42-41_v4.15.rar
    • Shytnik
      Trojan.Win64.Agent.smekzx
      Автор Shytnik
      Здравствуйте. В один момент перестало работать всё с ошибкой «Отказано в доступе». «Касперский» нашел этот вирус и вроде как успешно вылечил с перезагрузкой.
       
      После удаления автоматически запустилась проверка, которая по непонятным причинам сама по себе приостанавливалась три раза. Также по какой-то причине переставали грузиться на некоторое время сайты. Посчитал, что это какое-то подозрительное поведение, и отключил на всякий случай интернет. «Касперский» завершил сканирование и удалил еще кучу скриптов из папки браузера.
       
      В интернете нашел страницу на «Ответах» Mail.ru, где человек писал, что этот вирус после удаления «Касперским» «воскресает». Немного беспокоит эта перспектива, т. к. переустанавливать Windows не хочется. Можно как-то проверить, осталась ли эта гадость в системе?
      CollectionLog-2025.07.04-16.29.zip
    • Ivan72
      MEM:backdoor.Win32.Insistent.gen и HEUR:Trojan.Win64.Miner.gen 
      Автор Ivan72
      Добрый день!
      MEM:backdoor.Win32.Insistent.gen
      HEUR:Trojan.Win64.Miner.gen 
      Не дают покоя, вылечить не получается. 




      CollectionLog-2025.01.26-19.39.zip
×
×
  • Создать...