Heur:Trojan.Multi,GenBadur.genw после лечения с перезагрузкой восстанавливается

[Myugs 0]

Здравствуйте, после перезагрузки ПК снова появляется предупреждение.

CollectionLog-2024.10.10-22.18.zip

[safety 124]

Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского

+

Добавьте дополнительные логи

 

1. логи FRST

2. образ автозапуска системы в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Myugs 0]

DESKTOP-POV614Q_2024-10-11_17-35-35_v4.99.2v x64.7z 234.txt

[safety 124]

Цитата

Сегодня, 11.10.2024 12:20:31    System Memory    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan.Multi.GenBadur.genw    Базы    Файл        System Memory    Обнаружено    Троянская программа    Высокая    Точно    DESKTOP-POV614Q\Kaya    Активный пользователь

 

Возможно, этот  процесс генерит dll, на которые ругается антивирус Касперского

C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE [8436]

 

Цитата

Полное имя                  C:\USERS\KAYA\APPDATA\LOCAL\TEMP\59B6A639-9892-4CC9-95C5-619B00E2BE96.TMP.NODE
Имя файла                   59B6A639-9892-4CC9-95C5-619B00E2BE96.TMP.NODE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL                        
APEX                        Malicious
Cynet                       Malicious (score: 100)
www.virustotal.com          2024-07-31 20:25 [2022-10-23]                         
Процесс                     C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE [8436]

 

Цитата

Полное имя                  C:\USERS\KAYA\APPDATA\LOCAL\TEMP\B02695A5-1F3F-4826-8010-AF7B03CBB333.TMP.NODE
Имя файла                   B02695A5-1F3F-4826-8010-AF7B03CBB333.TMP.NODE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL                         
Cynet                       Malicious (score: 100)
APEX                        Malicious
www.virustotal.com          2024-10-09 09:45 [2023-10-18]
Процесс                     C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE [8436]

и

Цитата

Полное имя                  C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\RESOURCES\APP.ASAR.UNPACKED\DIST\ELECTRON\B67B4AB7EBBAC637CF6C.DLL
Имя файла                   B67B4AB7EBBAC637CF6C.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL                          
ESET-NOD32                  a variant of Win32/Infatica.B potentially unwanted
www.virustotal.com          2024-10-11 13:31 [2024-08-07]
Процесс                     C:\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE [8436]

                            

 

                            

 

                            

 

[safety 124]

Что еще можно добавить:

Запускается через задачи:

"C:\Users\Kaya\AppData\Roaming\utorrent\pro\uTorrentPro.exe" /LHS

возможно установлен вместе с uTorrent 8.2.9 в конце сентября (28.09.2024)

 

Можем временно uTorrent 8.2.9 (через установку/удаление программ) удалить/деинсталлировать, и проверить по детектам что изменилось.

Если будет необходим - установите обратно.

Изменено Пятница в 16:00 пользователем safety

[Myugs 0]

Предупреждение пропало, спасибо.

[thyrex 1 411]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[safety 124]

11.10.2024 в 23:34, Myugs сказал:

Предупреждение пропало, спасибо.

Хорошо, дочистим систему в uVS.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\59B6A639-9892-4CC9-95C5-619B00E2BE96.TMP.NODE
delall %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\8D979F59-3F5F-4DD5-BE20-6CBD2FC6D3F9.TMP.NODE
delall %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\A46FF483-59B8-48C4-BEC9-F9AA25F3D65B.TMP.NODE
delall %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\B02695A5-1F3F-4826-8010-AF7B03CBB333.TMP.NODE
delall %SystemDrive%\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\RESOURCES\APP.ASAR.UNPACKED\DIST\ELECTRON\B67B4AB7EBBAC637CF6C.DLL
delall %SystemDrive%\USERS\KAYA\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
apply

; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BLUESTACKSHELPER.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref E:\REG ORGANIZER\SHELL\SHELLCONTEXTMENU_4.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BSTKDRV_NXT.SYS
delref %SystemDrive%\KVRT2020_DATA\TEMP\34105D1614A078122BA1CE2FB62AD56C\KLUPD_AE5AFA5EA_ARKMON.SYS
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref D:\PROGRAM FILES\NOX\BIN\MULTIPLAYERMANAGER.EXE
delref %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\TEMP\IS-H8FRB.TMP\CODESETUP-STABLE-384FF7382DE624FB94DBAF6DA11977BBA1ECD427.TMP
delref %SystemDrive%\USERS\KAYA\APPDATA\LOCAL\PLAY MACHINE\VKAPP.EXE
delref D:\MEREDIAN3DX\3DXCHAT.EXE
delref D:\MEREDIAN3DX\UNINSTALL.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS