HEUR:Trojan.Multi.GenBadur.genw после лечения и перезагрузки снова отображается

[mike 1]

1 час назад, GlibZabiv сказал:

Сам архив весит 66,5 мегабайт

Выложите на Яндекс диск тогда. 

[GlibZabiv]

Вот ссылка на диск: https://disk.yandex.ru/d/gHfHRXiqZPOv7A

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    

   CreateRestorePoint:
   CloseProcesses:
   HKU\S-1-5-21-4086896063-1327252601-3325558292-1001\...\Run: [utweb] => "C:\Users\79028\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Нет файла)
   HKU\S-1-5-21-4086896063-1327252601-3325558292-1001\...\Run: [Arizona Games Launcher] => "F:\Arizona\Arizona Games Launcher\Arizona Games Launcher.exe" (Нет файла)
   HKU\S-1-5-21-4086896063-1327252601-3325558292-1001\...\Run: [MediaGet2] => "C:\Users\79028\MediaGet2\mediaget.exe" --minimized (Нет файла)
   Task: {32A4DD9D-7586-4CF7-9AF5-F78977F10EC6} - System32\Tasks\CorelUpdateHelperTaskCore => c:\Program Files (x86)\Corel\CUH\v2\CUH.exe  /t (Нет файла)
   Task: {C709EB83-5415-4403-98EB-6392822777C4} - System32\Tasks\Eventer utilityS-1-5-21-4086896063-1327252601-3325558292-1001 => C:\Users\79028\AppData\Local\Mail.Ru\Atom\Application\eventer.exe  (Нет файла) <==== ВНИМАНИЕ
   Task: {3DBCFAAC-FF3C-401E-B8FD-240D76F1C3FA} - System32\Tasks\MediaGetProUpdaterV5_t1728901981462 => "C:\Users\79028\MediaGet2\pro\MediaGetPro.exe"  /LHS (Нет файла)
   Task: {C7EA2289-108C-4CAE-B40B-AD32B70A2BC0} - System32\Tasks\MediaGetProUpdaterV6_t1728901983530 => "C:\Users\79028\MediaGet2\pro\MediaGetPro.exe"  /LHS (Нет файла)
   Task: {213A4085-FE33-4C6C-B01B-C32BD43C1FF9} - System32\Tasks\RunGame => C:\Program Files\Client Helper\Client Helper.exe [146320896 2024-09-26] (GitHub, Inc.) [Файл не подписан]
   Task: {7B5E6099-35E3-4050-80E7-819DCCD8C4E4} - System32\Tasks\uFilerProUpdaterV5_t1728901988464 => C:\Program Files (x86)\uFiler\pro\uFilerPro.exe [157627392 2024-09-30] (GitHub, Inc.) [Файл не подписан]
   Task: {A2D0CA91-0BDF-45A9-8D44-9709A4070658} - System32\Tasks\uFilerProUpdaterV6_t1728901990536 => C:\Program Files (x86)\uFiler\pro\uFilerPro.exe [157627392 2024-09-30] (GitHub, Inc.) [Файл не подписан]
   U3 aswbdisk; отсутствует ImagePath
   2024-10-14 15:33 - 2024-10-14 15:33 - 000003702 _____ C:\Windows\system32\Tasks\uFilerProUpdaterV6_t1728901990536
   2024-10-14 15:33 - 2024-10-14 15:33 - 000003700 _____ C:\Windows\system32\Tasks\MediaGetProUpdaterV6_t1728901983530
   2024-10-14 15:33 - 2024-10-14 15:33 - 000003506 _____ C:\Windows\system32\Tasks\uFilerProUpdaterV5_t1728901988464
   2024-10-14 15:33 - 2024-10-14 15:33 - 000003504 _____ C:\Windows\system32\Tasks\MediaGetProUpdaterV5_t1728901981462
   2024-10-07 16:01 - 2024-10-07 16:01 - 000000264 _____ () C:\Users\79028\MediaGetPro.dat
   2024-10-11 20:12 - 2024-10-11 20:12 - 000000264 _____ () C:\Users\79028\uFilerPro.dat
   2024-06-13 11:10 - 2023-12-05 15:28 - 000151289 _____ () C:\ProgramData\PyCharmCE2024.1_241.17890.14_Uninstall.exe
   2023-02-23 19:35 - 2023-02-23 19:35 - 000000068 _____ () C:\Users\79028\AppData\Roaming\changzhi_leidian.data
   2023-02-23 19:35 - 2023-02-23 19:35 - 000000050 _____ () C:\Users\79028\AppData\Roaming\changzhi_leidianmac.data
   2023-05-15 11:54 - 2023-05-15 11:54 - 000000128 ____H () C:\Users\79028\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6

   
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
   

4. Обратите внимание, что компьютер будет перезагружен.
   

5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
   

 

uFiler деинсталлируйте.

[GlibZabiv]

Fixlog.txt

[thyrex]

Удалите старые и соберите новые логи FRST.txt, Addition.txt

[GlibZabiv]

Addition.txt FRST.txt

[thyrex]

Client Helper 6.1.4

удалите через Установку программ или принудительно с помощью Geek Uninstaller

 

C:\Users\79028\ex-list2.json заархивируйте и прикрепите к следующему сообщению.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-4086896063-1327252601-3325558292-1001\...\Run: [YandexBrowserAutoLaunch_0324438C2C97C8745AD5FB589D6B1456] => "C:\Users\79028\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-4086896063-1327252601-3325558292-1001\...\Run: [uFiler] => "C:\Program Files (x86)\uFiler\uFiler.exe" -autorun (Нет файла)
HKU\S-1-5-21-4086896063-1327252601-3325558292-1001\...\MountPoints2: {207f3f29-d65a-11eb-982c-18c04d69b310} - "F:\HiSuiteDownLoader.exe" 
Task: {3E8C520B-9BCC-4241-AE4B-EE43163AEA4F} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
2024-10-11 20:12 - 2024-10-22 14:26 - 000000000 ____D C:\Users\79028\AppData\Roaming\uFilerPro
2024-10-11 20:11 - 2024-10-11 20:11 - 000000000 ____D C:\Users\79028\AppData\Local\ufilerpro-updater
2024-10-07 16:01 - 2024-10-20 18:03 - 000000000 ____D C:\Users\79028\AppData\Roaming\MediaGetPro
2024-10-07 16:00 - 2024-10-07 16:00 - 000000000 ____D C:\Users\79028\AppData\Local\mediagetpro-updater
2024-10-07 15:54 - 2024-10-07 16:00 - 000000000 ____D C:\Users\79028\AppData\Roaming\ClientHelper
2024-10-07 15:53 - 2024-10-20 17:42 - 000000000 ____D C:\Users\79028\AppData\Local\clienthelper-updater
2024-10-07 15:53 - 2024-10-07 15:54 - 000000000 ____D C:\Program Files\Client Helper
2024-09-22 14:42 - 2024-09-22 14:42 - 000000000 ____D C:\Users\79028\AppData\Roaming\com.gtoppocket.launcher
2024-09-22 12:03 - 2024-09-22 12:03 - 000000000 ____D C:\Users\79028\Downloads\MediaGet Downloads
2024-09-22 12:02 - 2024-10-20 18:03 - 000000000 ____D C:\Users\79028\AppData\Local\Media Get LLC
2024-09-22 12:01 - 2024-09-22 12:01 - 004831024 _____ () C:\Users\79028\Downloads\MediaGet_id3410813ids1s.exe
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{1108FD1C-492F-4251-B9DB-77F0274267B2}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.187.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{5FC44EBC-3A1F-4FBB-85E5-34405788C8D7}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.187.41\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{6DD6748E-7DAE-47EF-B4D5-03AA1B06D697}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.187.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{72726D01-426C-4B35-8266-B4496CAA889E}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.183.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{78C1ADF4-6DAE-4164-AEFA-4E3EAD9E750A}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.195.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{83F21C4B-8643-4A08-A29A-822AFD835037}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.193.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{AE1542A7-3989-481B-93A9-1500C5F56B14}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.185.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{B258532D-3529-4BEB-BF38-F08F98B3968C}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.195.15\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{CAE1760A-CB07-481B-8F9A-BC65510AF5D5}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.185.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{DAA7499A-B3AC-4419-A89B-124318504051}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.185.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{E3D57E77-FE71-4D06-BD34-D48820074909}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.181.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{E76F97B1-1AE9-497C-9FA4-F57BBABAD54A}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.185.17\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{F1658933-2997-4DDB-869C-061D53A9718E}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.195.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086896063-1327252601-3325558292-1001_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\79028\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла
C:\Users\79028\Downloads\ДЗобщ (2).png — ярлык.lnk
C:\Users\79028\Downloads\сертификат_за_участие_в_олимпиаде_по_математике (5) — ярлык.lnk
C:\Users\79028\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\World_of_Warplanes\Удалить World_of_Warplanes.lnk
C:\Users\79028\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\World_of_Tanks_RU\Удалить World of Tanks RU.lnk
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
AlternateDataStreams: C:\Users\79028\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\79028\AppData\Roaming:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
FirewallRules: [{D3A4849C-7939-422D-9CB4-B730AC7E91E7}] => (Allow) C:\Users\79028\AppData\Local\Mail.Ru\Atom\Application\atom.exe => Нет файла
FirewallRules: [{1B3D6BB7-0B04-4C84-9852-092DC7EB02F8}] => (Allow) C:\Users\79028\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{2B6F725F-2A44-4374-B5E8-5071BDFD19DB}] => (Allow) C:\Users\79028\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{FE4C2EB0-CB68-4B70-A54E-C5EB1FF7DA69}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{AABFB0A8-9F38-4DA7-82E8-A05B4F0A702A}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{05D366A7-3191-4BF5-A666-5731F2926057}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [{52D2D1E0-9F04-4DFA-8002-290CD5D0D432}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Нет файла
FirewallRules: [{4B10D4E7-02FE-4AFE-A41A-956EF30D3D8E}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{755178A5-0210-45A5-8FB7-6EA51A4A4FF2}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [TCP Query User{ED87C1A5-1F15-4AF9-9B63-46EF50C9C76D}C:\program files (x86)\ufiler\ufiler.exe] => (Block) C:\program files (x86)\ufiler\ufiler.exe => Нет файла
FirewallRules: [UDP Query User{4214BEDE-0287-448F-9414-B215C79AE954}C:\program files (x86)\ufiler\ufiler.exe] => (Block) C:\program files (x86)\ufiler\ufiler.exe => Нет файла
FirewallRules: [{B2A814F4-CC09-41BB-8FB5-5C503B77BE83}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\Resolve.exe => Нет файла
FirewallRules: [{078D869F-CC3F-4E9A-AF76-D40F265660BD}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\bmdpaneld.exe => Нет файла
FirewallRules: [{87A28170-0933-4220-BC33-B08638DE5157}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\DaVinciPanelDaemon.exe => Нет файла
FirewallRules: [{C70154BC-97D2-4167-8391-147F0E9CF030}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\JLCooperPanelDaemon.exe => Нет файла
FirewallRules: [{2E5DADE4-D2F9-4330-856A-525B9190F8DE}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\EuphonixPanelDaemon.exe => Нет файла
FirewallRules: [{15C46298-4561-40AA-BBD2-053A4062F8EE}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\TangentPanelDaemon.exe => Нет файла
FirewallRules: [{BAD2DD51-BA05-41D3-ABBD-49DE580E9D71}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\ElementsPanelDaemon.exe => Нет файла
FirewallRules: [{C9056616-FBE8-4A9B-8F19-C50629B356B3}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\fuscript.exe => Нет файла
FirewallRules: [{9ACEF9A5-AAB3-4CFB-9FED-39354E0BFC25}] => (Block) c:\Program Files\Corel\CorelDRAW Graphics Suite 2017\Programs64\CorelDrw.exe => Нет файла
FirewallRules: [{25B07606-D608-46B2-B891-6876581D5500}] => (Block) c:\Program Files\Corel\CorelDRAW Graphics Suite 2017\Programs64\CorelPP.exe => Нет файла
FirewallRules: [{8519506F-1303-4FA3-9798-5943A730C0FC}] => (Block) c:\Program Files\Corel\CorelDRAW Graphics Suite X7\Programs64\CorelDrw.exe => Нет файла
FirewallRules: [{6C86E20F-9FF5-4B2C-BD89-C53E03DC2A81}] => (Block) c:\Program Files\Corel\CorelDRAW Graphics Suite X7\Programs64\CorelPP.exe => Нет файла
FirewallRules: [{3B1F4297-7E56-49C3-BB9A-F3C51FCDC95F}] => (Allow) C:\Users\79028\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{58EF2EB7-9AB5-41C0-B862-01F2205FF917}] => (Allow) C:\Users\79028\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{B24C4248-6B77-45A0-B7F5-1F2969FCADF2}] => (Allow) C:\Users\79028\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{E5A06EAF-2426-457D-992C-AA06295ECDCD}] => (Allow) C:\Users\79028\MediaGet2\QtWebEngineProcess.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[GlibZabiv]

ex-list2.zip Fixlog.txt

[thyrex]

C:\Users\79028\ex-list2.json удалите вручную.

 

Проблема решена?

[GlibZabiv]

Да, решена, спасибо огромное! А не могли бы Вы сказать, где я подцепил этот троян? И как на такое больше не попадаться?

 

[thyrex]

Как и прочие любители халявы, скачав пиратку игры с торрента. Ближайший по времени - это Sniper elite.

А потом зараза подтянула себе компанию еще.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[GlibZabiv]

SecurityCheck.txt