HEUR: Trojan. Multi.GenBadur.genw после лечения с перезагрузкой восстанавливается

[Ra11lex 0]

Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается.

CollectionLog-2024.10.11-18.04.zip

[safety 124]

Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского

+

Добавьте дополнительные логи

 

1. логи FRST

2. образ автозапуска системы в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Ra11lex 0]

Отчеты.rar Здравсвуйте! прилагаю отчеты

[safety 124]

Цитата

Сегодня, 14.10.2024 14:51:21    System Memory    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan.Multi.GenBadur.genw    Базы    Файл        System Memory    Обнаружено    Троянское приложение    Высокая    Точно    MSI\066    Активный пользователь

+

образ автозапуска в uVS добавьте.

Изменено Понедельник в 12:25 пользователем safety

[Ra11lex 0]

13 минут назад, safety сказал:

+

образ автозапуска в uVS добавьте.

MSI_2024-10-14_15-38-21_v4.99.2v x64.7z

[safety 124]

Выполните скрипт очистки в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\066\APPDATA\ROAMING\ZOOM\BIN\ZOOMTELEMETRY.DLL
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\066\APPDATA\LOCAL\TEMP\4914B6D9-6335-4B0D-8CDD-96F476AA0C3F.TMP.NODE
delall %SystemDrive%\USERS\066\APPDATA\LOCAL\TEMP\6345BA3C-C40C-4EBA-8145-E78FC645312F.TMP.NODE
delall %SystemDrive%\USERS\066\APPDATA\LOCAL\TEMP\64378156-A0EA-46DC-BA7B-B18E91C4BF32.TMP.NODE
delall %SystemDrive%\USERS\066\APPDATA\LOCAL\TEMP\6D6255D5-1A11-4965-8797-6D5A4DB3D1EC.TMP.NODE
delall %SystemDrive%\USERS\066\APPDATA\ROAMING\UTORRENT\PRO\RESOURCES\APP.ASAR.UNPACKED\DIST\ELECTRON\B67B4AB7EBBAC637CF6C.DLL
delall H:\AUTORUN.EXE
delall %SystemDrive%\USERS\066\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\21.9.2.172\SERVICE_UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\066\DOCUMENTS\TEMP\ONEDC_UPDATER\ONEDC_UPDATER.EXE
delref %SystemDrive%\USERS\066\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.811\INSTALLER\YNDXSTP.EXE
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\INTEL\KILLER\KILLERPROVIDERDATAHELPERSERVICE.EXE
delref F:\SETUP.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по результату очистки, что с детектом HEUR:Trojan.Multi.GenBadur.genw

остался или ушел.

Изменено Понедельник в 13:52 пользователем safety

[Ra11lex 0]

2024-10-14_17-00-53_log.txt Запустил, вот лог. Сейчас запущу проверки, и напишу результаты. Спасибо!

Быстрая проверка больше не находит троян. Запустил полную

Изменено Понедельник в 14:19 пользователем safety

[Ra11lex 0]

Полная проверка завершена, вируса больше нет. Спасибо большое!

[safety 124]

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.