Проблема HEUR: Trojan.Win64.Miner.gen не исчезает после полной проверки

[Mausidze 0]

Недавно защитник обнаружил файл, который не может нормально удалить или просканировать, решил скачать Kaspersky Premium.
Провёл несколько быстрых сканов, перезагрузок и полную проверку, но постоянно выдаёт при запуске, что удалённый HEUR:Trojan.Win64.Miner.gen вернулся
Распознаёт, если пытаться вылечить без перезагрузки, как криптоджекинг
Прикрепил отчёт программы

otchet.txt

[safety 124]

Цитата

Вчера, 22.10.2024 21:52:19    C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646\ScanProdigy.exe    ScanProdigy.exe    C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646    Файл    Не обработано    Объект не обработан    Не обработано    HEUR:Trojan.Win64.Miner.gen    Троянское приложение    Высокая    Эвристический анализ    Host Process for Windows Services    svchost.exe    C:\Windows\SysWOW64\svchost.exe    C:\Windows\SysWOW64    4896    WORKGROUP\DESKTOP-R1PN8DM$    Инициатор    Пропущено

 

Добавьте необходимые логи правилам

«Порядок оформления запроса о помощи».

+

Сделайте образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

Далее,

основное меню - Дополнительно - Твики - выполнить твик 39.

перегрузить систему,

после перезагрузки, еще раз, запускаем start.exe (от имени Администратора) из папки uVS

текущий пользователь.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

добавьте основные логи по правилам.

 

[Mausidze 0]

Прикрепляю необходимые логи!
 

DESKTOP-R1PN8DM_2024-10-23_08-59-31_v4.99.2v x64.7z CollectionLog-2024.10.23-08.53.zip

[safety 124]

34 минуты назад, Mausidze сказал:

Прикрепляю необходимые логи!

Отлично, ждите скрипт очистки.

[safety 124]

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\ECDA7F\3677E71B86.MSI
delref %SystemRoot%\SYSWOW64\SVCHOST.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMAKCOJOPPODHCGMMCHOHADHPKICOAFKA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DINCOGAKFPFACIKBDIDEGNIAODMALNGNN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 28
regt 29

deltmp
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID]
delref W:\ROMS\PS2\PCSX2 1.2.1\PCSX2-R5875.EXE
delref W:\PLARIUM\PLARIUMPLAY\6.8.0-0.0.0\WIN_10_NOTIFICATION.EXE
delref W:\ROMS\SNES\SNES\SNES9X-X64.EXE
delref %SystemDrive%\USERS\USER\ANACONDA3\PYTHON.EXE
delref %SystemDrive%\USERS\USER\ANACONDA3\CWP.PY
delref %SystemDrive%\USERS\USER\ANACONDA3\SCRIPTS\JUPYTER-NOTEBOOK-SCRIPT.PY
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\HTMLT3.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\HTMLTDB3.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\TADSUINS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\UNINST37EE.INF
delref W:\DEATH STRANDING\DEATH STRANDING\DS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MIFLASHPRO\MIFLASH_PRO.EXE
delref %SystemDrive%\GAMES\YAKUZA 0\UNINS000.EXE
delref %SystemDrive%\GAMES\YAKUZA 0\MEDIA\YAKUZA0.EXE
delref %SystemDrive%\PROGRAM FILES\GENSHIN IMPACT\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\CMAPLE.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\MAPLELAUNCHHELP.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\MAPLEW.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\ACTIVATION.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\WMINT.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\UNINSTALL\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHONW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHON.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, после перезагрузки была реакция антивируса на Miner.gen или нет.

+

Сделайте, дополнительно  логи FRST для контроля.

Цитата

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Изменено 9 часов назад пользователем safety

[Mausidze 0]

Прикрепляю новые логи!
После всех проделанных действий, запустил быструю проверку, прикрепляю её отчёт.
Однако, фоновая и полная проверка пишут, что объекты не обработаны, но в самом центре уведомлений ничего нет. Возможно, не успели обновить проверку?


 

2024-10-23_17-17-06_log.txt FRST.txt Addition.txt otchet.txt

[safety 124]

Судя по новому логу сканирования сегодня обнаружения продолжились:

Цитата

Сегодня, 23.10.2024 5:02:38    pmem:\C:\Windows\SysWOW64\svchost.exe    Вылечено    Объект вылечен    MEM:Backdoor.Win32.Insistent.gen        Файл    pmem:\C:\Windows\SysWOW64    svchost.exe    Вылечено    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

лечение по данному обнаружение со стороны антвируса не помогло, обнаружения продолжались.

Цитата

Сегодня, 23.10.2024 5:28:47    pmem:\C:\Windows\SysWOW64\svchost.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Backdoor.Win32.Insistent.gen    Экспертный анализ    Файл    pmem:\C:\Windows\SysWOW64    svchost.exe    Обнаружено    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

а вот последнее обнаружение

Сегодня, 23.10.2024 7:14:23    System Memory    Не обработано    Объект не обработан    MEM:Backdoor.Win32.Insistent.gen    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

 

Логи FRST сейчас проверю.

[safety 124]

Выполните очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-19\...\RunOnce: [ContentDeliveryAllowed] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager /v ContentDeliveryAllowed /t REG_DWORD /d 0 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [GlobalUserDisabled] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications /v GlobalUserDisabled /t REG_DWORD /d 1 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [ContentDeliveryAllowed] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager /v ContentDeliveryAllowed /t REG_DWORD /d 0 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [GlobalUserDisabled] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications /v GlobalUserDisabled /t REG_DWORD /d 1 /f (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-10-17 11:16 - 2024-10-23 05:13 - 000000000 __SHD C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646
2024-10-17 11:15 - 2024-10-17 11:15 - 001301744 _____ C:\WINDOWS\SysWOW64\echo211.dat
Unlock:: C:\Program Files\RDP Wrapper
Unlock:: C:\Program Files (x86)\360
Unlock:: C:\ProgramData\RDP Wrapper
Unlock:: C:\ProgramData\ReaItekHD
Unlock:: C:\ProgramData\Setup
Unlock:: C:\ProgramData\Windows Tasks Service
Unlock:: C:\ProgramData\WindowsTask
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\Setup
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\Program Files (x86)\360
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [5162]
AlternateDataStreams: C:\ProgramData\merjmevq.cmt:65433143E6 [5162]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [5162]
AlternateDataStreams: C:\ProgramData\sldh.dat:136096DD5B [5162]
AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat.lnk:1FA7E99ECA [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2019.lnk:6569B2479D [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firmware updater for DualSense™ wireless controller.lnk:984BC2B727 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky.lnk:C47623E859 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Newgrounds Player.lnk:61530B8D4C [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sublime Merge.lnk:1DA94F4472 [5162]
AlternateDataStreams: C:\Users\User\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\User\AppData\Local\Microsoft:ISBD [66]
AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

Сделайте еще раз:

Образ автозапуска в uVS

и новый отчет со сканированием в антивирусе Касперского.

Изменено 1 час назад пользователем safety

[safety 124]

Скрипт для FRST обновил, если уже выполнили его, выполните повторно.

[Mausidze 0]

Прикрепляю необходимые логи и отчёт быстрой проверки.
Выполнил все действия повторно, так как увидел сообщение перед отправкой.
 

otchet2.txt Fixlog.txt DESKTOP-R1PN8DM_2024-10-23_18-42-50_v4.99.2v x64.7z

[safety 124]

Судя по новой проверке Касперского обнаружений в памяти нет, но есть реакция на эти модули.

 

Цитата

Сегодня, 23.10.2024 17:25:03    C:\dis_fix\bin\WinDivert64.sys    Обнаружено    Информация об обнаруженном объекте    not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen    Экспертный анализ    Файл    C:\dis_fix\bin    WinDivert64.sys    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь
Сегодня, 23.10.2024 18:35:16    C:\dis_fix\bin\WinDivert64.sys    Обнаружено    Информация об обнаруженном объекте    not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen    Экспертный анализ    Файл    C:\dis_fix\bin    WinDivert64.sys    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь
Сегодня, 23.10.2024 18:44:15    C:\dis_fix\bin\WinDivert64.sys    Обнаружено    Информация об обнаруженном объекте    not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen    Экспертный анализ    Файл    C:\dis_fix\bin    WinDivert64.sys    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

 

Есть реакция и других антивирусов на файлы из каталога dis_fix

 

 

Цитата

 

Полное имя                  C:\DIS_FIX\BIN\WINWS.EXE
Имя файла                   WINWS.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске Фильтр
                            
Lionic                      Trojan.Win32.Generic.4!c
MicroWorld-eScan            Trojan.GenericKD.74326620
McAfee                      Artemis!8C624E64742B
Malwarebytes                Generic.Malware/Suspicious
VIPRE                       Trojan.GenericKD.74326620
Sangfor                     Trojan.Win32.Agent.V8t8
BitDefender                 Trojan.GenericKD.74326620
VirIT                       Trojan.Win64.Agent.FYL
GData                       Trojan.GenericKD.74326620
McAfeeD                     ti!13FD7A9C6F7C
CTX                         exe.trojan.generic
FireEye                     Trojan.GenericKD.74326620
Varist                      W64/ABTrojan.QFMB-3867
Antiy-AVL                   Trojan/Win32.Agent
Gridinsoft                  Malware.Win64.Gen.ca
Arcabit                     Trojan.Generic.D46E225C
AhnLab-V3                   Trojan/Win.Generic.R672938
ALYac                       Trojan.GenericKD.74326620
MaxSecure                   Trojan.Malware.284651105.susgen
Fortinet                    W32/PossibleThreat
alibabacloud                Suspicious
www.virustotal.com          2024-10-23 15:27 [2024-09-22]
                            
Ссылки на объект            
Ссылка                      HKLM\SYSTEM\ControlSet001\Services\zapret\ImagePath
ImagePath                   C:\dis_fix\bin\winws.exe --wf-tcp=80,443 --wf-udp=443,50000-65535 --filter-udp=443 --hostlist="C:\dis_fix\list-general.txt" --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=6 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic="C:\dis_fix\bin\quic_initial_www_google_com.bin" --new --filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-fake-quic="C:\dis_fix\bin\quic_initial_www_google_com.bin" --new --filter-tcp=80 --hostlist="C:\dis_fix\list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new --filter-tcp=443 --hostlist="C:\dis_fix\list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls="C:\dis_fix\bin\tls_clienthello_www_google_com.bin"
DisplayName                 zapret DPI bypass : winws1
Description                 zapret DPI bypass software
zapret                      тип запуска: Авто (2)
Изменен                     10.10.2024 в 07:20:12
                            
 

 

 

 

 

Чистим?

Или вы используете его для серфинга в сети Интернет?

Изменено 1 час назад пользователем safety

[safety 124]

Полное имя                  C:\DIS_FIX\BIN\WINDIVERT64.SYS

Цитата

Имя файла                   WINDIVERT64.SYS
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске
                            
Elastic                     Windows.VulnDriver.WinDivert
Kaspersky                   not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen
www.virustotal.com          2024-10-23 14:40 [2022-09-21]
                            
Ссылки на объект            
Ссылка                      HKLM\SYSTEM\ControlSet001\Services\WinDivert\ImagePath
ImagePath                   \??\C:\dis_fix\bin\WinDivert64.sys
DisplayName                 WinDivert
WinDivert                   тип запуска: Отключено (4)
Изменен                     23.10.2024 в 18:42:01

                            

 

Что еще можно сделать: можно очистить отчеты Касперского и понаблюдать за детектами еще некоторое время.

Потом примем  решение: чистить или нет, если вы используете полезные функции данного софта.

[Mausidze 0]

Это известная мне программа/утилита, необходимая для работы, с ней всё в порядке, думаю, в ближайшей полной проверке добавлю её в список для игнорирования.
Если всё остальное исправлено, то безмерно благодарен!