heur:trojan.multi.genbadur.genw возвращается снова и снова

[Svejhiy]

Проникся чувством ностальгии и решил скачать одну игрушку, а в ней троян был
Игрушку удалил, лечение сделал, думал дело в шляпе, но вирус возвращается снова и снова после каждой перезагрузки
Логи прикрепил

CollectionLog-2024.10.22-18.04.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1728824049957');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1728824052231');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O22 - Tasks_Migrated: \ASUS\AcPowerNotification - C:\Program Files (x86)\ASUS\ArmouryDevice\dll\AcPowerNotification\AcPowerNotification.exe (file missing)
O22 - Tasks_Migrated: \ASUS\ArmourySocketServer - C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ArmourySocketServer\ArmourySocketServer.exe (file missing)
O22 - Tasks_Migrated: \ASUS\ASUSUpdateTaskMachineCore - C:\Program Files (x86)\ASUS\Update\AsusUpdate.exe /c (file missing)
O22 - Tasks_Migrated: \ASUS\ASUSUpdateTaskMachineUA - C:\Program Files (x86)\ASUS\Update\AsusUpdate.exe /ua /installsource scheduler (file missing)
O22 - Tasks_Migrated: \ASUS\Framework Service - C:\Program Files (x86)\ASUS\ArmouryDevice\asus_framework.exe (file missing)
O22 - Tasks_Migrated: \ASUS\P508PowerAgent_sdk - C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Office\Office Automatic Updates 2.0 - C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe /frequentupdate SCHEDULEDTASK displaylevel=False (file missing)
O22 - Tasks_Migrated: \Microsoft\Office\Office ClickToRun Service Monitor - C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe /WatchService (file missing)
O22 - Tasks_Migrated: \Microsoft\Office\Office Feature Updates - C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Office\Office Feature Updates Logon - C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe /onlogon (file missing)
O22 - Tasks_Migrated: ASUS Update Checker 2.0 - C:\Windows\System32\DriverStore\FileRepository\asussci2.inf_amd64_bf969a2fcea35523\ASUSSoftwareManager\AsusUpdateChecker.exe (file missing)
O22 - Tasks_Migrated: OneDrive Per-Machine Standalone Update Task - C:\Program Files\Microsoft OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Tasks_Migrated: OneDrive Reporting Task-S-1-5-21-69676673-3430847215-3263168868-1001 - C:\Program Files\Microsoft OneDrive\OneDriveStandaloneUpdater.exe /reporting (file missing)
O22 - Tasks_Migrated: Repairing Yandex Browser update service - C:\Program Files (x86)\Yandex\YandexBrowser\20.3.2.242\service_update.exe --repair (file missing)
O22 - Tasks_Migrated: System update for Yandex Browser - C:\Program Files (x86)\Yandex\YandexBrowser\20.3.2.242\service_update.exe --run-as-launcher (file missing)
O22 - Tasks_Migrated: Восстановление сервиса обновлений Яндекс Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\23.1.2.931\service_update.exe --repair (file missing)
O22 - Tasks_Migrated: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\20.3.2.242\service_update.exe --repair (file missing)
O22 - Tasks_Migrated: Обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe --background-update --noerrdialogs (file missing)
O22 - Tasks_Migrated: Системное обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\23.1.2.931\service_update.exe --run-as-launcher (file missing)

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Svejhiy]

Готово, вот новые логи

CollectionLog-2024.10.22-19.45.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Svejhiy]

Выполнено

additionfrst.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-69676673-3430847215-3263168868-1001\...\MountPoints2: {23202cdb-40ff-11ee-8882-141333eaeea0} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-69676673-3430847215-3263168868-1001\...\MountPoints2: {23202d07-40ff-11ee-8882-141333eaeea0} - "D:\HiSuiteDownLoader.exe" 
Task: {E84A5DB4-8A5B-42DE-97A6-4864D2FE5B15} - System32\Tasks\ASUS\AcPowerNotification => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\AcPowerNotification\AcPowerNotification.exe  (Нет файла)
Task: {7737F129-3AF2-4F90-9885-ABA918983D75} - System32\Tasks\ASUS\ArmourySocketServer => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ArmourySocketServer\ArmourySocketServer.exe  (Нет файла)
Task: {C84A59B5-0D31-4E56-A5D8-D66293637B24} - System32\Tasks\ASUS\Framework Service => C:\Program Files (x86)\ASUS\ArmouryDevice\asus_framework.exe  (Нет файла)
Task: {FF6A0B94-BEA3-49BB-B598-020132DD9700} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe  (Нет файла)
Task: {08357722-034D-42A1-A917-A9D3636335CB} - System32\Tasks\EdgeUpdate => C:\Windows\system32\cmd.exe [323584 2024-07-11] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
Task: {B860D49E-DFC2-41F3-B4AA-C21D5385F8BF} - System32\Tasks\Repairing Yandex Browser update service => C:\Program Files (x86)\Yandex\YandexBrowser\20.3.2.242\service_update.exe  --repair (Нет файла)
2024-10-13 15:54 - 2024-10-22 17:43 - 000000000 ____D C:\Users\79113\AppData\Roaming\uTorrentPro
2024-10-13 15:54 - 2024-10-13 15:54 - 000000264 _____ C:\Users\79113\uTorrentPro.dat
2024-10-13 15:53 - 2024-10-13 15:53 - 000000000 ____D C:\Users\79113\AppData\Local\utorrentpro-updater
2024-10-13 15:52 - 2024-10-13 15:52 - 000003602 _____ C:\WINDOWS\system32\Tasks\EdgeUpdate
2024-10-13 15:47 - 2024-10-22 17:29 - 000009883 _____ C:\Users\79113\ex-list2.json
2024-10-13 15:47 - 2024-10-13 15:52 - 000000000 ____D C:\Users\79113\AppData\Roaming\ClientHelper
2024-10-13 15:46 - 2024-10-15 19:28 - 000000000 ____D C:\Program Files\Client Helper
2024-10-13 15:46 - 2024-10-15 19:20 - 000000000 ____D C:\Users\79113\AppData\Local\clienthelper-updater
2024-10-13 15:46 - 2024-10-13 15:46 - 000000000 ____D C:\Users\79113\AppData\Roaming\com.gtoppocket.launcher
FirewallRules: [{1357AB6B-CBE6-41EF-94C4-58A16A2D298B}] => (Allow) C:\Program Files\ASUS\ARMOURY CRATE Service\MobilePlugin\AutoConnectHelper.exe => Нет файла
FirewallRules: [{8D55B60C-4A4A-422C-8205-99ED5BE33F0E}] => (Allow) C:\steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{577FD5A5-8D6C-4310-A91E-8B6AD2168D26}] => (Allow) C:\steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{252A9AE8-A61D-4026-BA2E-8B440D0DBE6F}] => (Allow) C:\steam\steamapps\common\Grand Theft Auto IV\GTAIV\PlayGTAIV.exe => Нет файла
FirewallRules: [{835942C2-D825-4D1E-86E1-6B510F3D5A53}] => (Allow) C:\steam\steamapps\common\Grand Theft Auto IV\GTAIV\PlayGTAIV.exe => Нет файла
FirewallRules: [{FFDC4E21-0341-4396-A698-31B8636F0B6A}] => (Allow) C:\Users\79113\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{4CA88BDB-D259-49D1-9D89-39E441E35EDB}] => (Allow) C:\Users\79113\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{15099A52-9CF4-4BA7-BFB7-CAB0C7E55A9C}] => (Allow) C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ArmourySocketServer\ArmouryHtmlDebugServer.exe => Нет файла
FirewallRules: [{552309B3-463C-45B6-9000-D79C17C77BE1}] => (Allow) C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ArmourySocketServer\ArmourySocketServer.exe => Нет файла
FirewallRules: [{994BB0D8-CAA8-4888-96E6-62AAFCC2AF05}] => (Allow) C:\Program Files (x86)\ASUS\ArmouryDevice\asus_framework.exe => Нет файла
FirewallRules: [{33697EAD-6035-4A64-A554-7E1BFCA644C5}] => (Allow) C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ArmourySocketServer\ArmourySocketServer.exe => Нет файла
FirewallRules: [{8C6FA0F2-02AA-4B76-B4C8-C8A8BCDE30E0}] => (Allow) C:\Program Files (x86)\ASUS\ArmouryDevice\asus_framework.exe => Нет файла
FirewallRules: [{0BF4F2F8-64A1-4096-9B0E-07919F313DF1}] => (Allow) C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ArmourySocketServer\ArmouryHtmlDebugServer.exe => Нет файла
FirewallRules: [{52372994-7D32-4AA2-809C-37B28AFE8F88}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\Lync.exe => Нет файла
FirewallRules: [{A217DE60-13E6-4F2C-A7DE-A5035869258D}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\UcMapi.exe => Нет файла
FirewallRules: [TCP Query User{D93A1F4B-6E70-4985-8FBA-F33A34D3A896}C:\users\79113\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\79113\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{A570DAA6-E271-4668-B5DC-76D4E65E943E}C:\users\79113\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\79113\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [{4647CB4E-D548-4B30-806D-0BAE2317244A}] => (Allow) C:\steam\steamapps\common\Metro Last Light\MetroLL.exe => Нет файла
FirewallRules: [{F7B1BFBF-9E5E-429B-83CD-F415C7CA8158}] => (Allow) C:\steam\steamapps\common\Metro Last Light\MetroLL.exe => Нет файла
FirewallRules: [{45C678D3-725A-4D03-BC35-EA22B80AA632}] => (Allow) C:\steam\steamapps\common\Buckshot Roulette\Buckshot Roulette_windows\Buckshot Roulette.exe => Нет файла
FirewallRules: [{8915D039-A872-4E75-AA1C-25664EE08D90}] => (Allow) C:\steam\steamapps\common\Buckshot Roulette\Buckshot Roulette_windows\Buckshot Roulette.exe => Нет файла
FirewallRules: [{B3C34E6D-9D2E-4A2C-BA7D-1B3B4EC934A1}] => (Allow) C:\steam\steamapps\common\Call of Duty World at War\CoDWaW.exe => Нет файла
FirewallRules: [{11514753-DC53-4296-B819-CCB016C8E23F}] => (Allow) C:\steam\steamapps\common\Call of Duty World at War\CoDWaW.exe => Нет файла
FirewallRules: [{9317524E-1513-4F66-BD46-5DFEB715772D}] => (Allow) C:\steam\steamapps\common\Call of Duty World at War\CoDWaWmp.exe => Нет файла
FirewallRules: [{923A7619-326B-4EAA-82EF-B6E3026EB03B}] => (Allow) C:\steam\steamapps\common\Call of Duty World at War\CoDWaWmp.exe => Нет файла
FirewallRules: [{12229B03-D1D4-4513-8CC8-2259A6436EF1}] => (Allow) C:\Program Files\ASUS\ARMOURY CRATE Service\MobilePlugin\AutoConnectHelper.exe => Нет файла
FirewallRules: [{58E0702C-AA3F-4A39-89C5-8B4994D8BD82}] => (Allow) C:\Program Files\ASUS\ARMOURY CRATE Service\MobilePlugin\AutoConnectHelper.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Svejhiy]

Прошу

Fixlog.txt

[thyrex]

Проблема решена?

[Svejhiy]

Да, благодарю!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.