genbadur [РЕШЕНО] Обнаружен вирус HEUR: Trojan. Multi.GenBadur.genw.После лечения и перезагрузки через некоторое время вновь появляется

[Vladislav70]

WIN-OQN985GADH0_2024-10-20_11-48-49_v4.99.2v x64.7z

[Vladislav70]

Дополнительно с AutoLogger

CollectionLog-2024.10.21-18.33.zip report1.log report2.log

[safety]

Выполните очистку системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\.MINECRAFT\TLAUNCHER.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
exec32 "C:\Users\Admin\AppData\Roaming\.tlauncher\tl-uninstall.exe" "/U:C:\Users\Admin\AppData\Roaming\.tlauncher\Uninstall\uninstall.xml"
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\.MINECRAFT\TLAUNCHER.EXE
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\.MINECRAFT\RUNTIME\JAVA-RUNTIME-DELTA\WINDOWS\JAVA-RUNTIME-DELTA\BIN\JAVAW.EXE
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\UTORRENT\PRO\UTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WEXT.VBS
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.7.0.1841\SERVICE_UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\22.7.0.1841\INSTALLER\YNDXSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {21E17C2F-AD3A-4B89-841F-09CFE02D16B7}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\FINALWIRE\AIDA64 EXTREME\KERNELD.X64
;-------------------------------------------------------------
restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите,  ушел данный детект HEUR: Trojan. Multi.GenBadur.genw, или сохранился.

[Vladislav70]

ПРЕМНОГО БЛАГОДАРЕН ЗА БЫСТРЫЙ ОТЗЫВ!По результату отпишусь 22.10.24г. Удачи ВАМ!

2024-10-21_19-02-16_log.txt

[safety]

Сделайте, дополнительно  логи FRST для контроля.

Цитата

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

[Vladislav70]

Троян не показывается СПАСИБО!!!

Addition.txt FRST.txt

[safety]

Хорошо,

 

Выполните зачистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start:
2024-10-22 17:59 - 2024-10-22 18:21 - 000000000 ____D C:\Users\Admin\AppData\Roaming\.minecraft
2024-10-22 17:59 - 2024-10-22 18:08 - 000000000 ____D C:\Users\Admin\AppData\Roaming\.tlauncher
2024-10-22 17:59 - 2024-10-22 17:59 - 000001937 _____ C:\Users\Admin\Desktop\TLauncher.lnk
2024-10-06 22:21 - 2024-10-06 22:21 - 000000017 _____ () C:\Users\Admin\uTorrentPro.dat
2024-10-07 20:28 - 2024-10-22 17:59 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TLauncher
2024-10-06 22:21 - 2024-10-21 19:00 - 000000000 ____D C:\Users\Admin\AppData\Roaming\uTorrentPro
2024-10-06 22:21 - 2024-10-06 22:21 - 000000017 _____ C:\Users\Admin\uTorrentPro.dat
2024-10-06 22:20 - 2024-10-06 22:20 - 000000000 ____D C:\Users\Admin\AppData\Local\utorrentpro-updater
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

+

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Изменено 23 октября, 2024 пользователем safety

[Vladislav70]

Выполняю как написано пошагово, после нажатия в FRST(исправить) выдает окно "Не найден fixlist.txt ".

[safety]

Возможно, вы не скопировали скрипт из браузера в буфер обмена.

 

Копируем скрипт из браузера в буфер обмена (т.е. выделяем все строки скрипта из сообщения, и нажимаем Ctrl+C

после этого, скрипт уже в буфере обмена), браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Это альтернативный способ выполнения скрипта, без необходимости сохранить его в текстовый файл fixlist.txt

Изменено 24 октября, 2024 пользователем safety

[Vladislav70]

Вчера сделал текстовый  документ но он в автомате назвался StSecurityCheck.txtart.txt. Сегодня переименовал в fixlist.txt - запустил FRST и все пошло. Спасибо БОЛЬШОЕ !!!

Fixlog.txt

SecurityCheck.txt

[safety]

В завершении, по возможности, обновите данное ПО:

 

Среда выполнения Microsoft Edge WebView2 Runtime v.129.0.2792.89 Внимание! Скачать обновления

KMPlayer 64X (remove only) v.2024.8.22.14 Внимание! Скачать обновления

Yandex (All Users) v.24.7.6.974 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

Изменено 24 октября, 2024 пользователем safety

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".