появляются в оперативной памяти MEM:Backdoor.Win64.Agent.gen и MEM:Trojan.Multi.Agent.gen

[mpi2]

После длительного неиспользования компьютера обнаруживаются следующие вирусы

Описание результата: Обнаружено
Тип: Троянское приложение
Название: MEM:Trojan.Multi.Agent.gen
Имя задачи: Поиск вредоносного ПО
Пользователь:  (Активный пользователь)
Объект: pmem:\C:\Windows\System32\VaultCmd.exe
Причина: Экспертный анализ
Дата выпуска баз: 18.05.2026 16:21:00

Описание результата: Обнаружено
Тип: Троянское приложение
Название: MEM:Backdoor.Win64.Agent.gen
Имя задачи: Поиск вредоносного ПО
Пользователь: (Активный пользователь)
Объект: pmem:\C:\Program Files\Yandex\YandexBrowser\Application\browser.exe
Причина: Экспертный анализ
Дата выпуска баз: 18.05.2026 16:21:00

На компьютере нет ничего - используется только для видеосвязи
 

Прикладываю файлы от FRST64 и AutoLogger

CollectionLog-2026.05.18-18.01.zip FRST.txt

[Sandor]

Здравствуйте!

 

CollectionLog собран устаревшей версией Автологера.

Скачайте актуальную (по ссылке из правил) и переделайте, пожалуйста.

 

Также добавьте файл Addition.txt

[mpi2]

2 часа назад, Sandor сказал:

Здравствуйте!

 

CollectionLog собран устаревшей версией Автологера.

Скачайте актуальную (по ссылке из правил) и переделайте, пожалуйста.

 

Также добавьте файл Addition.txt

Направляю недостающие файлы

Addition.txt CollectionLog-2026.05.18-22.18.zip

[Sandor]

Вопросы:

 

Этот файл

Цитата

C:\ProgramData\Microsoft\Windows\ClipSVC\State.cmd

вам известен?

 

Подключение удалённым рабочим столом извне настроено специально?

Цитата

O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\WINDOWS\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\WINDOWS\system32\svchost.exe

 

[mpi2]

20 часов назад, Sandor сказал:

C:\ProgramData\Microsoft\Windows\ClipSVC\State.cmd

Этот файл нам не известен. Задача и сам файл в архиве. пароль - 123456

Downloads.7z

Меня еще вот эта задача смущает Task: {14802CC9-7368-4E43-8AA3-5B75692BA070} - System32\Tasks\Microsoft\Windows\WindowsAI\Reporting => C:\Program Files\VinteoDesktop\Vinteorces.exe [82704 2026-04-07] (Anaconda, Inc. -> ) -> C:\Program Files\VinteoDesktop\cef1.pak

[Sandor]

33 минуты назад, mpi2 сказал:

Меня еще вот эта задача смущает

В системе установлена программа VinteoDesktop 4.16.1 (клиент видеоконференцсвязи).

Вам она тоже не известна?

[mpi2]

VinteoDesktop как раз очень известная. Но вот на другом компьютере, вот такого (C:\Program Files\VinteoDesktop\cef1.pak) файла нет

[Sandor]

Ясно.

На второй вопрос не ответили:

21 час назад, Sandor сказал:

Подключение удалённым рабочим столом извне настроено специально?

 

[mpi2]

5 минут назад, Sandor сказал:

Ясно.

На второй вопрос не ответили:

 

Да, подключение удаленным рабочим столом используется, но только внутри домена

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {2CAA2946-1F13-49BA-8ED8-22F7ECF377B4} - System32\Tasks\Microsoft\Windows\ApplicationData\ClipSVCIns => C:\ProgramData\Microsoft\Windows\ClipSVC\State.cmd [132 2026-02-12] () [Файл не подписан] -> 
  Task: {A5C4C489-A11E-41E3-88F5-D348ECC28874} - System32\Tasks\tempssh => C:\ProgramData\ssh\WInSSH.exe  (Нет файла)
  startbatch:
  del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Code Cache\Js\*.*"
  endbatch:
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[mpi2]

Сделано. Но сразу после перезагрузки:
Описание результата: Обнаружено
Тип: Троянское приложение
Название: MEM:Backdoor.Win64.Agent.gen
Имя задачи: Поиск вредоносного ПО
Пользователь: (Активный пользователь)
Объект: pmem:\C:\Windows\System32\VaultCmd.exe
Причина: Экспертный анализ
Дата выпуска баз: 19.05.2026 18:25:00

 

P.S. Я файлы задачи удалил вручную до того как Вы прислали инструкцию
Fixlog.txt

Изменено 19 мая пользователем mpi2

[Sandor]

И что предлагает антивирус сделать с этим файлом - VaultCmd.exe - удалить?

 

Загрузите его на www.virustotal.com и приведите ссылку на результат следующим сообщением.

[mpi2]

Антивирус лечит этот файл:
Описание результата: Вылечено
Тип: Троянское приложение
Название: MEM:Backdoor.Win64.Agent.gen
Имя задачи: Поиск вредоносного ПО
Пользователь: (Активный пользователь)
Объект: pmem:\C:\Windows\System32\VaultCmd.exe

 

https://www.virustotal.com/gui/file/26a872c8e10cb4264b595561f2a45266dd11412186696875a6ce3d549af9edf0/detection

[Sandor]

Соберите, пожалуйста, новые логи FRST.txt и Addition.txt, предварительно отключив антивирус.

[Sandor]

Добавьте дополнительно образ автозапуска с отслеживанием процессов (п. 3.1).

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)