Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

HEUR: Trojan. Multi.GenBadur.genw после лечения с перезагрузкой восстанавливается

Raman

Автор Raman,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

Raman

Raman 0

Опубликовано
Опубликовано

Доброго дня. Ровненько всё точно так же как и описано выше про поведение HEUR:Trojan.Multi.GenBadur.genw

Нужна помощь, так как не могу понять даже откуда сие чудо явилось...

DESKTOP-AJ5G2Q2_2024-10-13_23-14-01_v4.99.2v x64.7z

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Здравствуйте.


Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
Raman

Raman 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте. Выполнил по пунктам следующее:

1. Kaspersky Virus Removal Tool, как и предполагалось, ничего не нашёл. То есть совсем ничего.

2. Было произведено сканирование с помощью AutoLogger. Вот сам лог:

CollectionLog-2024.10.15-18.11.zip

3. Ещё раз просканировал с помощью uVS. Собственно, лог:

DESKTOP-AJ5G2Q2_2024-10-15_17-53-10_v4.99.2v x64.7z

4. В соседней ветке прочитал советы по уничтожению такого же вируса. А именно удаление TorrentPro. И да, это помогло, при следующей перезагрузке вредин найдено не было. Но это было сделано уже после того, как я начал этот диалог. Значит его надо и завершить. Поэтому, если будут какие-либо рекомендации, буду только рад.

5. Благодарен гуру форума за бесценную помощь.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 TerminateProcessByName('c:\users\raman\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\raman\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1728502326594');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1728502328706');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-332958990-358264995-1695677461-1001\...\MountPoints2: {2d2a2d22-ec03-11ec-b038-c2ab3e0c5608} - "F:\AutoRun.exe" 
Task: {6AD5472E-76D7-43C3-8CF8-934CC0BC0E39} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-332958990-358264995-1695677461-1001Core => C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe  /c (Нет файла)
Task: {E6CD344A-15EC-41CF-AC91-11B30E10B366} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-332958990-358264995-1695677461-1001UA => C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe  /ua /installsource scheduler (Нет файла)
S3 klids.Kaspersky4Win-21-14; \??\C:\ProgramData\Kaspersky Lab\AVP21.14\Bases\klids.sys [X]
2024-09-28 19:03 - 2024-09-28 19:03 - 000000264 _____ C:\Users\Raman\uTorrentPro.dat
2024-09-28 19:02 - 2024-10-15 18:15 - 000000000 ____D C:\Users\Raman\AppData\Roaming\uTorrentPro
2024-09-28 19:02 - 2024-09-28 19:02 - 000000000 ____D C:\Users\Raman\AppData\Local\utorrentpro-updater
2024-09-28 18:57 - 2024-09-28 18:57 - 000000000 ____D C:\Users\Raman\AppData\Roaming\com.gtoppocket.launcher
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{5EA43877-C6D8-4885-B77A-C0BB27E94372}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{81093D63-7825-417B-BFC8-ADC63FA4E53D}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла
FirewallRules: [TCP Query User{5B9F2E72-EEE1-4666-8FC1-F70B305A4BB9}C:\users\raman\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\raman\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [UDP Query User{99A03223-149C-47B7-B4B6-DE949C41B69E}C:\users\raman\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\raman\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [{1B7BBC08-61AA-474A-8071-1F0C37BA0503}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{3E63CA6F-9855-4D41-9388-DD132BBA3F4E}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{B91EC897-79B4-4A53-A03C-6027D55E3E8C}] => (Allow) C:\Users\Raman\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{8E0A3BFE-459D-478E-BBF9-444337AD59E3}] => (Allow) C:\Users\Raman\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{BDEC2956-AEBF-44F9-B33E-E97B3B5FE86A}] => (Allow) C:\Users\Raman\AppData\Local\Temp\beetle-cab\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{E3744A4A-9B8E-4F09-AC93-FA48691F1CD2}] => (Allow) C:\Users\Raman\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{E24C032F-550E-42EE-90CB-4604F0FCC422}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe => Нет файла
FirewallRules: [{83D355A8-F8F2-4269-8E93-97120E91A116}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • berezka1407
      После перезагрузки heur:trojan.multi.genbadur восстанавливается.
      От berezka1407
      У меня такая же проблема. После перезагрузки heur:trojan.multi.genbadur восстанавливается. Что делать? Помогите!!!
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.  
    • Ra11lex
      HEUR: Trojan. Multi.GenBadur.genw после лечения с перезагрузкой восстанавливается
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается.
      CollectionLog-2024.10.11-18.04.zip
×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.

  Я принимаю