[РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw в системной памяти

[Kerklark]

Добрый вечер, вылез троян и не лечится. Своими силами ничего не помогло, прошу помощи. 

CollectionLog-2024.10.19-20.27.zip

[thyrex]

Здравствуйте.

 

Цитата

MediaGet
MediaGet 8.2.9

удалите через Установку программ.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 TerminateProcessByName('c:\users\wepr8\mediaget2\pro\mediagetpro.exe');
 DeleteFile('c:\users\wepr8\mediaget2\pro\mediagetpro.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('MediaGetProUpdaterV5_t1728894721469');
 DeleteSchedulerTask('MediaGetProUpdaterV6_t1728894723501');
 DeleteFile('C:\Users\Wepr8\mediaget2\mediaget.exe','32');
 DeleteFile('C:\Users\Wepr8\mediaget2\mediaget_crashpad_handler.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Kerklark]

Сделано. 

CollectionLog-2024.10.19-20.45.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Kerklark]

Вроде так. Сделано. 

Логи.rar

[thyrex]

Цитата

Client Helper 6.1.4

удалите через Установку программ.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Task: {C9687002-589D-48F1-9EEB-F5DBC0CBCACE} - System32\Tasks\RunGame => C:\Program Files\Client Helper\Client Helper.exe [146320896 2024-09-26] (GitHub, Inc.) [Файл не подписан]
2024-10-14 14:14 - 2024-10-19 20:39 - 000000000 ____D C:\Users\Wepr8\AppData\Roaming\MediaGetPro
2024-10-14 14:14 - 2024-10-14 14:14 - 000000264 _____ C:\Users\Wepr8\MediaGetPro.dat
2024-10-14 14:14 - 2024-10-14 14:14 - 000000000 ____D C:\Users\Wepr8\AppData\Local\mediagetpro-updater
2024-09-30 22:50 - 2024-10-14 15:27 - 000003372 _____ C:\Windows\system32\Tasks\RunGame
2024-09-30 22:49 - 2024-10-14 17:55 - 000000000 ____D C:\Users\Wepr8\AppData\Local\clienthelper-updater
2024-09-30 22:49 - 2024-09-30 22:55 - 000000000 ____D C:\Users\Wepr8\AppData\Roaming\ClientHelper
2024-09-30 22:49 - 2024-09-30 22:49 - 000000000 ____D C:\Users\Wepr8\AppData\Roaming\com.gtoppocket.launcher
2024-09-30 22:49 - 2024-09-30 22:49 - 000000000 ____D C:\Program Files\Client Helper
FirewallRules: [{27D8C08B-94F9-4370-9B4A-A38122283076}] => (Allow) C:\Program Files\GIGABYTE\Control Center\GCC.exe => Нет файла
FirewallRules: [{E958A03E-1EC2-41D5-9EA9-C2F59E1CF186}] => (Allow) C:\Program Files\GIGABYTE\Control Center\GCC.exe => Нет файла
FirewallRules: [{CC246C69-A240-4EC2-A7C0-25F7B905B0E1}] => (Allow) C:\Users\Wepr8\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{0AC291CB-3067-48AC-A866-23B994AFED68}] => (Allow) C:\Users\Wepr8\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{3D8D0FFA-F1E8-438C-A560-BA15E4166689}] => (Allow) C:\Users\Wepr8\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{44B6EFAF-285E-4DBA-9EB0-4E2ABE99E9CD}] => (Allow) C:\Users\Wepr8\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{4F9A77BE-9EB7-485B-9F48-2C97A5453B70}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EABackgroundService.exe => Нет файла
FirewallRules: [{80E68034-2F88-4A44-9B6E-CD0F1343BFD7}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EABackgroundService.exe => Нет файла
FirewallRules: [{A26C77D1-BF9D-40AB-90ED-154C0C809D01}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAConnect_microsoft.exe => Нет файла
FirewallRules: [{AFE76AC9-3FC6-4576-A556-4357900B1D1D}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAConnect_microsoft.exe => Нет файла
FirewallRules: [{AD9F3F46-BEA9-4C16-8BF3-FA35505F1776}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EADesktop.exe => Нет файла
FirewallRules: [{144841FF-2EB3-40E1-BB6E-A64F01A5CA6A}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EADesktop.exe => Нет файла
FirewallRules: [{DADA2096-68D3-4D68-B7DE-B4713DD1CFB8}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAGEP.exe => Нет файла
FirewallRules: [{57EF4E03-FE20-445B-BE64-09D878234169}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAGEP.exe => Нет файла
FirewallRules: [{4477C5F7-25C7-465B-8549-91BCABE62B21}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALocalHostSvc.exe => Нет файла
FirewallRules: [{61732785-58FB-4495-9471-C7D18C6197F9}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALocalHostSvc.exe => Нет файла
FirewallRules: [{F2D85A08-8137-4379-A038-D3893A9F2185}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALaunchHelper.exe => Нет файла
FirewallRules: [{06132406-DB91-4AE4-9935-8A575A2D5901}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{A421E3EE-614B-48DC-94DF-0F6B3FBDA58F}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{1A7EC89D-717F-4002-A567-4BB799BB49C0}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{BF5EAE97-2234-4685-B908-A97E83BB9A36}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{E95D0E32-738D-4287-874C-555E73F1735B}D:\r.g. catalyst\need for speed - most wanted\nfs13.exe] => (Allow) D:\r.g. catalyst\need for speed - most wanted\nfs13.exe => Нет файла
FirewallRules: [UDP Query User{AF6526AD-AA33-410D-8910-CFA55342F49B}D:\r.g. catalyst\need for speed - most wanted\nfs13.exe] => (Allow) D:\r.g. catalyst\need for speed - most wanted\nfs13.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Kerklark]

Fixlog.txt

[thyrex]

Проблема решена?

[Kerklark]

Быстрая проверка касперским, не нашла его. Будемс наблюдать. Спасибо. 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Kerklark]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20216 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Среда выполнения Microsoft Edge WebView2 Runtime v.129.0.2792.89 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.30.30704 v.14.30.30704.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Outline 1.12.1 v.1.12.1 Внимание! Скачать обновления
Google Chrome v.129.0.6668.101 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.129.0.2792.89 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
 

На этом закончим.

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".