[РЕШЕНО] HEUR: Trojan. Multi.GenBadur.genw после лечения с перезагрузкой восстанавливается

[Raman]

Доброго дня. Ровненько всё точно так же как и описано выше про поведение HEUR:Trojan.Multi.GenBadur.genw

Нужна помощь, так как не могу понять даже откуда сие чудо явилось...

DESKTOP-AJ5G2Q2_2024-10-13_23-14-01_v4.99.2v x64.7z

[thyrex]

Здравствуйте.

Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению.
 

[Raman]

Здравствуйте. Выполнил по пунктам следующее:

1. Kaspersky Virus Removal Tool, как и предполагалось, ничего не нашёл. То есть совсем ничего.

2. Было произведено сканирование с помощью AutoLogger. Вот сам лог:

CollectionLog-2024.10.15-18.11.zip

3. Ещё раз просканировал с помощью uVS. Собственно, лог:

DESKTOP-AJ5G2Q2_2024-10-15_17-53-10_v4.99.2v x64.7z

4. В соседней ветке прочитал советы по уничтожению такого же вируса. А именно удаление TorrentPro. И да, это помогло, при следующей перезагрузке вредин найдено не было. Но это было сделано уже после того, как я начал этот диалог. Значит его надо и завершить. Поэтому, если будут какие-либо рекомендации, буду только рад.

5. Благодарен гуру форума за бесценную помощь.

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 TerminateProcessByName('c:\users\raman\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\raman\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1728502326594');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1728502328706');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Raman]

После выполненных скриптов в AVZ:

CollectionLog-2024.10.16-01.31.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Raman]

Доброго дня. Отчёты после сканирования FRST:

FRST reports.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-332958990-358264995-1695677461-1001\...\MountPoints2: {2d2a2d22-ec03-11ec-b038-c2ab3e0c5608} - "F:\AutoRun.exe" 
Task: {6AD5472E-76D7-43C3-8CF8-934CC0BC0E39} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-332958990-358264995-1695677461-1001Core => C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe  /c (Нет файла)
Task: {E6CD344A-15EC-41CF-AC91-11B30E10B366} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-332958990-358264995-1695677461-1001UA => C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe  /ua /installsource scheduler (Нет файла)
S3 klids.Kaspersky4Win-21-14; \??\C:\ProgramData\Kaspersky Lab\AVP21.14\Bases\klids.sys [X]
2024-09-28 19:03 - 2024-09-28 19:03 - 000000264 _____ C:\Users\Raman\uTorrentPro.dat
2024-09-28 19:02 - 2024-10-15 18:15 - 000000000 ____D C:\Users\Raman\AppData\Roaming\uTorrentPro
2024-09-28 19:02 - 2024-09-28 19:02 - 000000000 ____D C:\Users\Raman\AppData\Local\utorrentpro-updater
2024-09-28 18:57 - 2024-09-28 18:57 - 000000000 ____D C:\Users\Raman\AppData\Roaming\com.gtoppocket.launcher
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{5EA43877-C6D8-4885-B77A-C0BB27E94372}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{81093D63-7825-417B-BFC8-ADC63FA4E53D}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-332958990-358264995-1695677461-1001_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\Raman\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла
FirewallRules: [TCP Query User{5B9F2E72-EEE1-4666-8FC1-F70B305A4BB9}C:\users\raman\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\raman\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [UDP Query User{99A03223-149C-47B7-B4B6-DE949C41B69E}C:\users\raman\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\raman\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [{1B7BBC08-61AA-474A-8071-1F0C37BA0503}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{3E63CA6F-9855-4D41-9388-DD132BBA3F4E}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{B91EC897-79B4-4A53-A03C-6027D55E3E8C}] => (Allow) C:\Users\Raman\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{8E0A3BFE-459D-478E-BBF9-444337AD59E3}] => (Allow) C:\Users\Raman\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{BDEC2956-AEBF-44F9-B33E-E97B3B5FE86A}] => (Allow) C:\Users\Raman\AppData\Local\Temp\beetle-cab\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{E3744A4A-9B8E-4F09-AC93-FA48691F1CD2}] => (Allow) C:\Users\Raman\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{E24C032F-550E-42EE-90CB-4604F0FCC422}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe => Нет файла
FirewallRules: [{83D355A8-F8F2-4269-8E93-97120E91A116}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Raman]

Выполнил Fix в FRST. Fixlog прилагается:

 

Fixlog.txt

[thyrex]

Проблема решена?

[Raman]

19 часов назад, thyrex сказал:

Проблема решена?

Проблема решена. Благодарю за оперативную квалифицированную помощь.

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Raman]

После сканирования SecurityCheck:

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
HotFix KB5044273 Внимание! Скачать обновления
AMD Software v.23.8.1 Внимание! Скачать обновления
Git v.2.43.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.5.7 Внимание! Скачать обновления
Node.js v.20.9.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Foxit Reader v.10.0.0.35798 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Среда выполнения Microsoft Edge WebView2 Runtime v.129.0.2792.89 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Office профессиональный плюс 2013 v.15.0.4569.1506 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2013 v.15.0.4569.1506 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
FastStone Image Viewer 7.8 v.7.8 Внимание! Скачать обновления
FastStone Image Viewer 7.5 v.7.5 Внимание! Скачать обновления
Discord v.1.0.9004 Внимание! Скачать обновления
Telegram Desktop v.5.6.1 Внимание! Скачать обновления
Viber v.20.1.0.0 Внимание! Скачать обновления
Light Alloy 4.11.2 (build 3340) v.4.11.2 (build 3340) Данная программа больше не поддерживается разработчиком.
Google Chrome v.129.0.6668.101 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

---------------------------- [ UnwantedApps ] -----------------------------
IObit Driver Booster 7.5.0.741 v.7.5.0.741 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

На этом закончим.

[Raman]

Понял. Сделаю. Ещё раз спасибо за исчерпывающую подмогу. Думаю, таких отзывчивых спецов нигде больше нет.