genbadur [РЕШЕНО] HEUR: Trojan. Multi.GenBadur.genw после лечения с перезагрузкой восстанавливается

[Ra11lex]

Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается.

CollectionLog-2024.10.11-18.04.zip

[safety]

Добавьте отчеты по обнаружениям и сканированию из антивируса Касперского

+

Добавьте дополнительные логи

 

1. логи FRST

2. образ автозапуска системы в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Ra11lex]

Отчеты.rar Здравсвуйте! прилагаю отчеты

[safety]

Цитата

Сегодня, 14.10.2024 14:51:21    System Memory    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan.Multi.GenBadur.genw    Базы    Файл        System Memory    Обнаружено    Троянское приложение    Высокая    Точно    MSI\066    Активный пользователь

+

образ автозапуска в uVS добавьте.

Изменено 14 октября, 2024 пользователем safety

[Ra11lex]

13 минут назад, safety сказал:

+

образ автозапуска в uVS добавьте.

MSI_2024-10-14_15-38-21_v4.99.2v x64.7z

[safety]

Выполните скрипт очистки в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\066\APPDATA\ROAMING\ZOOM\BIN\ZOOMTELEMETRY.DLL
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\066\APPDATA\LOCAL\TEMP\4914B6D9-6335-4B0D-8CDD-96F476AA0C3F.TMP.NODE
delall %SystemDrive%\USERS\066\APPDATA\LOCAL\TEMP\6345BA3C-C40C-4EBA-8145-E78FC645312F.TMP.NODE
delall %SystemDrive%\USERS\066\APPDATA\LOCAL\TEMP\64378156-A0EA-46DC-BA7B-B18E91C4BF32.TMP.NODE
delall %SystemDrive%\USERS\066\APPDATA\LOCAL\TEMP\6D6255D5-1A11-4965-8797-6D5A4DB3D1EC.TMP.NODE
delall %SystemDrive%\USERS\066\APPDATA\ROAMING\UTORRENT\PRO\RESOURCES\APP.ASAR.UNPACKED\DIST\ELECTRON\B67B4AB7EBBAC637CF6C.DLL
delall H:\AUTORUN.EXE
delall %SystemDrive%\USERS\066\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\21.9.2.172\SERVICE_UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\066\DOCUMENTS\TEMP\ONEDC_UPDATER\ONEDC_UPDATER.EXE
delref %SystemDrive%\USERS\066\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.811\INSTALLER\YNDXSTP.EXE
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\INTEL\KILLER\KILLERPROVIDERDATAHELPERSERVICE.EXE
delref F:\SETUP.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по результату очистки, что с детектом HEUR:Trojan.Multi.GenBadur.genw

остался или ушел.

Изменено 14 октября, 2024 пользователем safety

[Ra11lex]

2024-10-14_17-00-53_log.txt Запустил, вот лог. Сейчас запущу проверки, и напишу результаты. Спасибо!

Быстрая проверка больше не находит троян. Запустил полную

Изменено 14 октября, 2024 пользователем safety

[Ra11lex]

Полная проверка завершена, вируса больше нет. Спасибо большое!

[safety]

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[Ra11lex]

SecurityCheck.txt Добрый день!

[safety]

По возможности, обновите данное ПО:

 

Kaspersky v.21.15.8.493 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20358 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^

AnyDesk v.ad 8.0.14 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления

XnView 2.50.4 v.2.50.4 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom Workplace v.6.2.0 (46690) Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
SoftEther VPN Client v.4.29.9680 Внимание! Скачать обновления

======

uTorrent 8.2.9 v.8.2.9 Внимание! Клиент сети P2P с рекламным модулем!.
µTorrent v.3.6.0.47142 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.5.11.2435 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^

 

Изменено 18 октября, 2024 пользователем safety

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".