[РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw в системной памяти

[Morkleb]

Здравствуйте. Завёлся вот в памяти, несколько попыток лечения с перезагрузкой ПК при помощи утилиты от Касперского, но увы. Надеюсь на помощь.

CollectionLog-2024.10.19-20.14.zip

[thyrex]

Здравствуйте.

 

Цитата

uTorrent 8.2.8

удалите через Установку программ.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files\utorrentpro\utorrentpro.exe');
 DeleteFile('c:\program files\utorrentpro\utorrentpro.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x32');
 DeleteSchedulerTask('ICTorrent2UpdaterV1_t1725444368294');
 DeleteSchedulerTask('ICTorrent2UpdaterV2_t1725444370375');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1725444364119');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1725444366210');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Morkleb]

Сделал как Вы и просили.
p.s. очень странно, я удалял торрент вчера.

CollectionLog-2024.10.19-20.36.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Morkleb]

FRST + Addition.rar

[thyrex]

Цитата

 

SteamUpdate 5.3.9

Архиватор WinRAR

 

удалите через Установку програм.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {7239EA9F-4A9A-46BF-A57F-0D9925BB1907} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe  (Нет файла)
2024-08-31 22:47 - 2024-09-20 13:06 - 000000264 _____ C:\Users\morkl\uTorrentPro.dat
2024-08-31 22:46 - 2024-10-19 20:25 - 000000000 ____D C:\Program Files\uTorrentPro
2024-08-31 22:46 - 2024-10-18 19:57 - 000000000 ____D C:\Users\morkl\AppData\Local\steamupdate-updater
2024-08-31 22:46 - 2024-08-31 22:46 - 000000000 ____D C:\Users\morkl\AppData\Roaming\SteamUpdate
2024-08-31 22:46 - 2024-08-31 22:46 - 000000000 ____D C:\Users\morkl\AppData\Roaming\com.gamepocket.launcher
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
HKU\S-1-5-21-1642232450-3730839383-2246476182-1001\...\StartupApproved\Run: => "uTorrentPro"
FirewallRules: [{CE995849-D4B5-4568-AA8F-4208ADEDBE65}] => (Allow) F:\Games\steamapps\common\Elite Dangerous\EDLaunch.exe => Нет файла
FirewallRules: [{7587EA3C-3FA8-4394-9FCF-4908C1674256}] => (Allow) F:\Games\steamapps\common\Elite Dangerous\EDLaunch.exe => Нет файла
FirewallRules: [{57A8BB0D-F70E-445C-8775-AEB116EE6227}] => (Allow) F:\Games\steamapps\common\Starfield\Starfield.exe => Нет файла
FirewallRules: [{F76B0351-78E9-47A6-9A80-5E46B4075E5C}] => (Allow) F:\Games\steamapps\common\Starfield\Starfield.exe => Нет файла
FirewallRules: [{65012DE9-A0DB-4BC1-8021-E2E33A83B448}] => (Allow) F:\Games\steamapps\common\Satisfactory\FactoryGame.exe => Нет файла
FirewallRules: [{175AD8CA-CCD3-4132-8092-122EBD793D69}] => (Allow) F:\Games\steamapps\common\Satisfactory\FactoryGame.exe => Нет файла
FirewallRules: [{9A1BAF23-80F6-49BA-ACF6-2C418B3A1716}] => (Allow) E:\Assassin's Creed IV Black Flag Rus\AC4BFSP.exe => Нет файла
FirewallRules: [{7912FDA4-5BE6-40B6-9F2E-70392F9C9016}] => (Allow) E:\Assassin's Creed IV Black Flag Rus\AC4BFSP.exe => Нет файла
FirewallRules: [{4BB93927-194A-4221-B9B3-A6110DE6B331}] => (Allow) E:\Assassin's Creed IV Black Flag Rus\AC4BFMP.exe => Нет файла
FirewallRules: [{FBF6A536-135E-461E-A83F-D38B49655434}] => (Allow) E:\Assassin's Creed IV Black Flag Rus\AC4BFMP.exe => Нет файла
FirewallRules: [TCP Query User{E149A6A6-4083-4E3A-B924-F82D6946C787}C:\games\palworld\pal\binaries\win64\palworld-win64-shipping.exe] => (Allow) C:\games\palworld\pal\binaries\win64\palworld-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{4931D0CB-26E7-490F-8375-CB8453398BED}C:\games\palworld\pal\binaries\win64\palworld-win64-shipping.exe] => (Allow) C:\games\palworld\pal\binaries\win64\palworld-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{C0C7EAEB-45C6-48C7-8BE0-D334D8C6C386}C:\users\morkl\appdata\local\discord\app-1.0.9161\discord.exe] => (Allow) C:\users\morkl\appdata\local\discord\app-1.0.9161\discord.exe => Нет файла
FirewallRules: [UDP Query User{A6943C12-5B3F-4BBB-90C7-C813D41904B4}C:\users\morkl\appdata\local\discord\app-1.0.9161\discord.exe] => (Allow) C:\users\morkl\appdata\local\discord\app-1.0.9161\discord.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Morkleb]

SteamUpdate 5.3.9 было удалено на диске, в списке программ висит.
Архиватор удалил.

Скопировал код. (Просто скопировать и нигде не надо было выполнять?)
Запустил сделал лог.

Fixlog.txt

[thyrex]

7 минут назад, Morkleb сказал:

SteamUpdate 5.3.9 было удалено на диске, в списке программ висит.

тогда тем более ему нечего в списке делать и система его должна предложить убрать. Если этого не случится, попробуйте все зачистить с помощью Geek Uninstaller

 

Проблема решена?

[Morkleb]

С вирусом проблема решена. Большое Вам спасибо! 
Пишет такую вот ошибку при удалении. (см скриншот)

[thyrex]

Пробуйте GeekUninstaller.

 

И далее написанное ниже.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Morkleb]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
AMD Software v.19.30.28 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Среда выполнения Microsoft Edge WebView2 Runtime v.129.0.2792.89 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
7-Zip 4.60 beta Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Discord v.1.0.9002 Внимание! Скачать обновления
Java 8 Update 301 v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u431-windows-i586.exe - Windows Offline)^
VLC media player v.3.0.12 Внимание! Скачать обновления
foobar2000 v1.1 v.1.1 Внимание! Скачать обновления
Google Chrome v.129.0.6668.101 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

---------------------------- [ UnwantedApps ] -----------------------------
CertsUpdater version 1.5 v.1.5 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

На этом закончим.

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".