Heur:Trojan.Multi,GenBadur.genw после лечения с перезагрузкой восстанавливается

10 октября, 2024

Здравствуйте, после перезагрузки ПК снова появляется предупреждение.

CollectionLog-2024.10.10-22.18.zip

11 октября, 2024

Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского

+

Добавьте дополнительные логи

1. логи FRST

2. образ автозапуска системы в uVS

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

11 октября, 2024

DESKTOP-POV614Q_2024-10-11_17-35-35_v4.99.2v x64.7z 234.txt

11 октября, 2024

Цитата

Сегодня, 11.10.2024 12:20:31 System Memory Обнаружено Обнаружен вредоносный объект HEUR:Trojan.Multi.GenBadur.genw Базы Файл System Memory Обнаружено Троянская программа Высокая Точно DESKTOP-POV614Q\Kaya Активный пользователь

Возможно, этот процесс генерит dll, на которые ругается антивирус Касперского

C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE [8436]

Цитата

Полное имя                  C:\USERS\KAYA\APPDATA\LOCAL\TEMP\59B6A639-9892-4CC9-95C5-619B00E2BE96.TMP.NODE
Имя файла                   59B6A639-9892-4CC9-95C5-619B00E2BE96.TMP.NODE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL
APEX                        Malicious
Cynet                       Malicious (score: 100)
www.virustotal.com          2024-07-31 20:25 [2022-10-23]
Процесс                     C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE [8436]

Цитата

Полное имя                  C:\USERS\KAYA\APPDATA\LOCAL\TEMP\B02695A5-1F3F-4826-8010-AF7B03CBB333.TMP.NODE
Имя файла                   B02695A5-1F3F-4826-8010-AF7B03CBB333.TMP.NODE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL
Cynet                       Malicious (score: 100)
APEX                        Malicious
www.virustotal.com          2024-10-09 09:45 [2023-10-18]
Процесс                     C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE [8436]

и

Цитата

Полное имя                  C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\RESOURCES\APP.ASAR.UNPACKED\DIST\ELECTRON\B67B4AB7EBBAC637CF6C.DLL
Имя файла                   B67B4AB7EBBAC637CF6C.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL
ESET-NOD32                  a variant of Win32/Infatica.B potentially unwanted
www.virustotal.com          2024-10-11 13:31 [2024-08-07]
Процесс                     C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE [8436]

11 октября, 2024

Что еще можно добавить:

Запускается через задачи:

"C:\Users\Kaya\AppData\Roaming\utorrent\pro\uTorrentPro.exe" /LHS

возможно установлен вместе с uTorrent 8.2.9 в конце сентября (28.09.2024)

Можем временно uTorrent 8.2.9 (через установку/удаление программ) удалить/деинсталлировать, и проверить по детектам что изменилось.

Если будет необходим - установите обратно.

Изменено 11 октября, 2024 пользователем safety

11 октября, 2024

Предупреждение пропало, спасибо.

11 октября, 2024

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

15 октября, 2024

11.10.2024 в 23:34, Myugs сказал:

Предупреждение пропало, спасибо.

Хорошо, дочистим систему в uVS.

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\59B6A639-9892-4CC9-95C5-619B00E2BE96.TMP.NODE
delall %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\8D979F59-3F5F-4DD5-BE20-6CBD2FC6D3F9.TMP.NODE
delall %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\A46FF483-59B8-48C4-BEC9-F9AA25F3D65B.TMP.NODE
delall %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\B02695A5-1F3F-4826-8010-AF7B03CBB333.TMP.NODE
delall %SystemDrive%\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\RESOURCES\APP.ASAR.UNPACKED\DIST\ELECTRON\B67B4AB7EBBAC637CF6C.DLL
delall %SystemDrive%\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
apply

; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BLUESTACKSHELPER.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref E:\REG ORGANIZER\SHELL\SHELLCONTEXTMENU_4.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BSTKDRV_NXT.SYS
delref %SystemDrive%\KVRT2020_DATA\TEMP\34105D1614A078122BA1CE2FB62AD56C\KLUPD_AE5AFA5EA_ARKMON.SYS
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref D:\PROGRAM FILES\NOX\BIN\MULTIPLAYERMANAGER.EXE
delref %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\IS-H8FRB.TMP\CODESETUP-STABLE-384FF7382DE624FB94DBAF6DA11977BBA1ECD427.TMP
delref %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\PLAY MACHINE\VKAPP.EXE
delref D:\MEREDIAN3DX\3DXCHAT.EXE
delref D:\MEREDIAN3DX\UNINSTALL.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

завершающие шаги:

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено 27 октября, 2024 пользователем safety

Heur:Trojan.Multi,GenBadur.genw после лечения с перезагрузкой восстанавливается

Рекомендуемые сообщения

Myugs

safety

Myugs

safety

safety

Myugs

thyrex

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum