Heur:Trojan.Multi,GenBadur.genw после лечения с перезагрузкой восстанавливается

[Myugs]

Здравствуйте, после перезагрузки ПК снова появляется предупреждение.

CollectionLog-2024.10.10-22.18.zip

[safety]

Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского

+

Добавьте дополнительные логи

 

1. логи FRST

2. образ автозапуска системы в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Myugs]

DESKTOP-POV614Q_2024-10-11_17-35-35_v4.99.2v x64.7z 234.txt

[safety]

Цитата

Сегодня, 11.10.2024 12:20:31    System Memory    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan.Multi.GenBadur.genw    Базы    Файл        System Memory    Обнаружено    Троянская программа    Высокая    Точно    DESKTOP-POV614Q\Kaya    Активный пользователь

 

Возможно, этот  процесс генерит dll, на которые ругается антивирус Касперского

C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE [8436]

 

Цитата

Полное имя                  C:\USERS\KAYA\APPDATA\LOCAL\TEMP\59B6A639-9892-4CC9-95C5-619B00E2BE96.TMP.NODE
Имя файла                   59B6A639-9892-4CC9-95C5-619B00E2BE96.TMP.NODE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL                        
APEX                        Malicious
Cynet                       Malicious (score: 100)
www.virustotal.com          2024-07-31 20:25 [2022-10-23]                         
Процесс                     C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE [8436]

 

Цитата

Полное имя                  C:\USERS\KAYA\APPDATA\LOCAL\TEMP\B02695A5-1F3F-4826-8010-AF7B03CBB333.TMP.NODE
Имя файла                   B02695A5-1F3F-4826-8010-AF7B03CBB333.TMP.NODE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL                         
Cynet                       Malicious (score: 100)
APEX                        Malicious
www.virustotal.com          2024-10-09 09:45 [2023-10-18]
Процесс                     C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE [8436]

и

Цитата

Полное имя                  C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\RESOURCES\APP.ASAR.UNPACKED\DIST\ELECTRON\B67B4AB7EBBAC637CF6C.DLL
Имя файла                   B67B4AB7EBBAC637CF6C.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL                          
ESET-NOD32                  a variant of Win32/Infatica.B potentially unwanted
www.virustotal.com          2024-10-11 13:31 [2024-08-07]
Процесс                     C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE [8436]

                            

 

                            

 

                            

 

[safety]

Что еще можно добавить:

Запускается через задачи:

"C:\Users\Kaya\AppData\Roaming\utorrent\pro\uTorrentPro.exe" /LHS

возможно установлен вместе с uTorrent 8.2.9 в конце сентября (28.09.2024)

 

Можем временно uTorrent 8.2.9 (через установку/удаление программ) удалить/деинсталлировать, и проверить по детектам что изменилось.

Если будет необходим - установите обратно.

Изменено 11 октября, 2024 пользователем safety

[Myugs]

Предупреждение пропало, спасибо.

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[safety]

11.10.2024 в 23:34, Myugs сказал:

Предупреждение пропало, спасибо.

Хорошо, дочистим систему в uVS.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\59B6A639-9892-4CC9-95C5-619B00E2BE96.TMP.NODE
delall %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\8D979F59-3F5F-4DD5-BE20-6CBD2FC6D3F9.TMP.NODE
delall %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\A46FF483-59B8-48C4-BEC9-F9AA25F3D65B.TMP.NODE
delall %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\B02695A5-1F3F-4826-8010-AF7B03CBB333.TMP.NODE
delall %SystemDrive%\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\RESOURCES\APP.ASAR.UNPACKED\DIST\ELECTRON\B67B4AB7EBBAC637CF6C.DLL
delall %SystemDrive%\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
apply

; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BLUESTACKSHELPER.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref E:\REG ORGANIZER\SHELL\SHELLCONTEXTMENU_4.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BSTKDRV_NXT.SYS
delref %SystemDrive%\KVRT2020_DATA\TEMP\34105D1614A078122BA1CE2FB62AD56C\KLUPD_AE5AFA5EA_ARKMON.SYS
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref D:\PROGRAM FILES\NOX\BIN\MULTIPLAYERMANAGER.EXE
delref %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\IS-H8FRB.TMP\CODESETUP-STABLE-384FF7382DE624FB94DBAF6DA11977BBA1ECD427.TMP
delref %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\PLAY MACHINE\VKAPP.EXE
delref D:\MEREDIAN3DX\3DXCHAT.EXE
delref D:\MEREDIAN3DX\UNINSTALL.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

+

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Изменено 27 октября, 2024 пользователем safety