Постоянно появляется MEM:Trojan.Win64.Cobalt.gen

[mpi2]

Добрый день! Постоянно в памяти появляется один и тот же вирус MEM:Trojan.Win64.Cobalt.gen

Касперский выполняет его лечение и через некоторое время он снова появляется.
 

Цитата

Описание результата: Вылечено
Тип: Троянское приложение
Название: MEM:Trojan-Banker.Multi.Emotet.gen
Пользователь: <скрыто> (Активный пользователь)
Объект: System Memory

 

Выполнено все, что возможно: загрузка с KRD, AdwCleaner 8.7.0, ESET Online Scanner

 

Прикладываю файлы от FRST64 и AutoLogger

CollectionLog-2025.12.26-13.58.zip FRST.zip

Изменено вчера в 04:00 пользователем mpi2

[safety]

Задача ваша?

Task: {1574D3F4-107B-48C2-A391-523D2DE65EA0} - System32\Tasks\Microsoft\Windows\WindowsAI\SSHAI => C:\ProgramData\ssh\WInSSH.exe [64080 2025-10-20] (Microsoft 3rd Party Application Component -> ) <==== ВНИМАНИЕ
 

Сделайте дополнительно образ автозапуска с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Изменено вчера в 04:22 пользователем safety

[mpi2]

Нет, эта не наша задача.
Файлы во вложении

ARM_OVS_2025-12-26_14-31-37_v5.0.3v x64.7z

 

Во вложении образ автозапуска с отслеживанием процессов и задач
 

ARM_OVS_2025-12-26_14-46-17_v5.0.3v x64.7z

[safety]

Есть потоки в системные процессы:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [6496], tid=6516

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\WKSPRT.EXE [4208], tid=5312

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [9276], tid=9984

 

Образ сейчас проанализирую, напишу здесь.

[safety]

WinSSH легальный, но вот с какой целью он запускается - вопрос.

+

Странная задача, с запуском распаковки remote.7z

 

 

можно попробовать прибить скриптом  (скрипт добавлю ниже) эти задачи и посмотреть результат по новому образу, и по сканированию в Касперском (будут детекты продолжаться или нет)

Изменено вчера в 05:06 пользователем safety

[safety]

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы

uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
deltsk %SystemDrive%\PROGRAMDATA\SSH\WINSSH.EXE
deltsk %SystemDrive%\PROGRAM FILES\7-ZIP\7ZFG.EXE
apply

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новый образ для контроля.

[mpi2]

В другом компьютере, не подключенном к сети интернет, такой задачи в планировщике нет.

[safety]

Хорошо, выполните скрипт очистки, посмотрим по результату что будет.

[mpi2]

Скрипты выполнены! Спасибо большое за помощь

2025-12-26_15-17-26_log.txt

[safety]

+

добавьте новый образ для контроля. Посмотрим, помогло или нет.

[mpi2]

Образ после выполнения скрипта

ARM_OVS_2025-12-26_16-48-44_v5.0.3v x64.7z

[safety]

Похоже удалили то что надо, потоки все пропали.

Сделайте сканирование Касперским, проверьте остался детект или ушел.

еще раз запустите uVS, start.exe, текущий пользователь,

В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 40" и завершаем работу с uVS.

Т.о. процесс отслеживания процессов и задач будет выключен.

 

если очистка пройдет успешно, и не останется вопросов и проблем в работе системы:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено вчера в 08:08 пользователем safety

[thyrex]

В папке с оригинальным 7-zip нет никакого файла 7ZFG.EXE. Да и на скриншоте видно, что его оригинальное имя другое.

[safety]

2 часа назад, thyrex сказал:

В папке с оригинальным 7-zip нет никакого файла 7ZFG.EXE. Да и на скриншоте видно, что его оригинальное имя другое.

Подпись у него действительная от Микрософт, но какую функцию выполняла данная задача, вопрос конечно.

[thyrex]

Ну подделать подпись могли, равно как и пропатчить файл, чтобы он мог использовать подмененную библиотеку 7z.dll или даже файл 7z.exe, как это в свое время было с TeamViewer. Разбираться с этой утилитой и смотреть, что делает ключ -remote времени нет.