miner.gen [РЕШЕНО] Проблема HEUR: Trojan.Win64.Miner.gen не исчезает после полной проверки

[Mausidze]

Недавно защитник обнаружил файл, который не может нормально удалить или просканировать, решил скачать Kaspersky Premium.
Провёл несколько быстрых сканов, перезагрузок и полную проверку, но постоянно выдаёт при запуске, что удалённый HEUR:Trojan.Win64.Miner.gen вернулся
Распознаёт, если пытаться вылечить без перезагрузки, как криптоджекинг
Прикрепил отчёт программы

otchet.txt

[safety]

Цитата

Вчера, 22.10.2024 21:52:19    C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646\ScanProdigy.exe    ScanProdigy.exe    C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646    Файл    Не обработано    Объект не обработан    Не обработано    HEUR:Trojan.Win64.Miner.gen    Троянское приложение    Высокая    Эвристический анализ    Host Process for Windows Services    svchost.exe    C:\Windows\SysWOW64\svchost.exe    C:\Windows\SysWOW64    4896    WORKGROUP\DESKTOP-R1PN8DM$    Инициатор    Пропущено

 

Добавьте необходимые логи правилам

«Порядок оформления запроса о помощи».

+

Сделайте образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

Далее,

основное меню - Дополнительно - Твики - выполнить твик 39.

перегрузить систему,

после перезагрузки, еще раз, запускаем start.exe (от имени Администратора) из папки uVS

текущий пользователь.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

добавьте основные логи по правилам.

 

[Mausidze]

Прикрепляю необходимые логи!
 

DESKTOP-R1PN8DM_2024-10-23_08-59-31_v4.99.2v x64.7z CollectionLog-2024.10.23-08.53.zip

[safety]

34 минуты назад, Mausidze сказал:

Прикрепляю необходимые логи!

Отлично, ждите скрипт очистки.

[safety]

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\ECDA7F\3677E71B86.MSI
delref %SystemRoot%\SYSWOW64\SVCHOST.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMAKCOJOPPODHCGMMCHOHADHPKICOAFKA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DINCOGAKFPFACIKBDIDEGNIAODMALNGNN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 28
regt 29

deltmp
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID]
delref W:\ROMS\PS2\PCSX2 1.2.1\PCSX2-R5875.EXE
delref W:\PLARIUM\PLARIUMPLAY\6.8.0-0.0.0\WIN_10_NOTIFICATION.EXE
delref W:\ROMS\SNES\SNES\SNES9X-X64.EXE
delref %SystemDrive%\USERS\USER\ANACONDA3\PYTHON.EXE
delref %SystemDrive%\USERS\USER\ANACONDA3\CWP.PY
delref %SystemDrive%\USERS\USER\ANACONDA3\SCRIPTS\JUPYTER-NOTEBOOK-SCRIPT.PY
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\HTMLT3.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\HTMLTDB3.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\TADSUINS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\UNINST37EE.INF
delref W:\DEATH STRANDING\DEATH STRANDING\DS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MIFLASHPRO\MIFLASH_PRO.EXE
delref %SystemDrive%\GAMES\YAKUZA 0\UNINS000.EXE
delref %SystemDrive%\GAMES\YAKUZA 0\MEDIA\YAKUZA0.EXE
delref %SystemDrive%\PROGRAM FILES\GENSHIN IMPACT\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\CMAPLE.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\MAPLELAUNCHHELP.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\MAPLEW.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\ACTIVATION.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\WMINT.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\UNINSTALL\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHONW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHON.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, после перезагрузки была реакция антивируса на Miner.gen или нет.

+

Сделайте, дополнительно  логи FRST для контроля.

Цитата

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Изменено 23 октября, 2024 пользователем safety

[Mausidze]

Прикрепляю новые логи!
После всех проделанных действий, запустил быструю проверку, прикрепляю её отчёт.
Однако, фоновая и полная проверка пишут, что объекты не обработаны, но в самом центре уведомлений ничего нет. Возможно, не успели обновить проверку?


 

2024-10-23_17-17-06_log.txt FRST.txt Addition.txt otchet.txt

[safety]

Судя по новому логу сканирования сегодня обнаружения продолжились:

Цитата

Сегодня, 23.10.2024 5:02:38    pmem:\C:\Windows\SysWOW64\svchost.exe    Вылечено    Объект вылечен    MEM:Backdoor.Win32.Insistent.gen        Файл    pmem:\C:\Windows\SysWOW64    svchost.exe    Вылечено    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

лечение по данному обнаружение со стороны антвируса не помогло, обнаружения продолжались.

Цитата

Сегодня, 23.10.2024 5:28:47    pmem:\C:\Windows\SysWOW64\svchost.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Backdoor.Win32.Insistent.gen    Экспертный анализ    Файл    pmem:\C:\Windows\SysWOW64    svchost.exe    Обнаружено    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

а вот последнее обнаружение

Сегодня, 23.10.2024 7:14:23    System Memory    Не обработано    Объект не обработан    MEM:Backdoor.Win32.Insistent.gen    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

 

Логи FRST сейчас проверю.

[safety]

Выполните очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-19\...\RunOnce: [ContentDeliveryAllowed] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager /v ContentDeliveryAllowed /t REG_DWORD /d 0 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [GlobalUserDisabled] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications /v GlobalUserDisabled /t REG_DWORD /d 1 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [ContentDeliveryAllowed] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager /v ContentDeliveryAllowed /t REG_DWORD /d 0 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [GlobalUserDisabled] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications /v GlobalUserDisabled /t REG_DWORD /d 1 /f (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-10-17 11:16 - 2024-10-23 05:13 - 000000000 __SHD C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646
2024-10-17 11:15 - 2024-10-17 11:15 - 001301744 _____ C:\WINDOWS\SysWOW64\echo211.dat
Unlock:: C:\Program Files\RDP Wrapper
Unlock:: C:\Program Files (x86)\360
Unlock:: C:\ProgramData\RDP Wrapper
Unlock:: C:\ProgramData\ReaItekHD
Unlock:: C:\ProgramData\Setup
Unlock:: C:\ProgramData\Windows Tasks Service
Unlock:: C:\ProgramData\WindowsTask
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\Setup
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\Program Files (x86)\360
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [5162]
AlternateDataStreams: C:\ProgramData\merjmevq.cmt:65433143E6 [5162]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [5162]
AlternateDataStreams: C:\ProgramData\sldh.dat:136096DD5B [5162]
AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat.lnk:1FA7E99ECA [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2019.lnk:6569B2479D [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firmware updater for DualSense™ wireless controller.lnk:984BC2B727 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky.lnk:C47623E859 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Newgrounds Player.lnk:61530B8D4C [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sublime Merge.lnk:1DA94F4472 [5162]
AlternateDataStreams: C:\Users\User\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\User\AppData\Local\Microsoft:ISBD [66]
AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

Сделайте еще раз:

Образ автозапуска в uVS

и новый отчет со сканированием в антивирусе Касперского.

Изменено 23 октября, 2024 пользователем safety

[safety]

Скрипт для FRST обновил, если уже выполнили его, выполните повторно.

[Mausidze]

Прикрепляю необходимые логи и отчёт быстрой проверки.
Выполнил все действия повторно, так как увидел сообщение перед отправкой.
 

otchet2.txt Fixlog.txt DESKTOP-R1PN8DM_2024-10-23_18-42-50_v4.99.2v x64.7z

[safety]

Судя по новой проверке Касперского обнаружений в памяти нет, но есть реакция на эти модули.

 

Цитата

Сегодня, 23.10.2024 17:25:03    C:\dis_fix\bin\WinDivert64.sys    Обнаружено    Информация об обнаруженном объекте    not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen    Экспертный анализ    Файл    C:\dis_fix\bin    WinDivert64.sys    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь
Сегодня, 23.10.2024 18:35:16    C:\dis_fix\bin\WinDivert64.sys    Обнаружено    Информация об обнаруженном объекте    not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen    Экспертный анализ    Файл    C:\dis_fix\bin    WinDivert64.sys    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь
Сегодня, 23.10.2024 18:44:15    C:\dis_fix\bin\WinDivert64.sys    Обнаружено    Информация об обнаруженном объекте    not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen    Экспертный анализ    Файл    C:\dis_fix\bin    WinDivert64.sys    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

 

Есть реакция и других антивирусов на файлы из каталога dis_fix

 

 

Цитата

 

Полное имя                  C:\DIS_FIX\BIN\WINWS.EXE
Имя файла                   WINWS.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске Фильтр
                            
Lionic                      Trojan.Win32.Generic.4!c
MicroWorld-eScan            Trojan.GenericKD.74326620
McAfee                      Artemis!8C624E64742B
Malwarebytes                Generic.Malware/Suspicious
VIPRE                       Trojan.GenericKD.74326620
Sangfor                     Trojan.Win32.Agent.V8t8
BitDefender                 Trojan.GenericKD.74326620
VirIT                       Trojan.Win64.Agent.FYL
GData                       Trojan.GenericKD.74326620
McAfeeD                     ti!13FD7A9C6F7C
CTX                         exe.trojan.generic
FireEye                     Trojan.GenericKD.74326620
Varist                      W64/ABTrojan.QFMB-3867
Antiy-AVL                   Trojan/Win32.Agent
Gridinsoft                  Malware.Win64.Gen.ca
Arcabit                     Trojan.Generic.D46E225C
AhnLab-V3                   Trojan/Win.Generic.R672938
ALYac                       Trojan.GenericKD.74326620
MaxSecure                   Trojan.Malware.284651105.susgen
Fortinet                    W32/PossibleThreat
alibabacloud                Suspicious
www.virustotal.com          2024-10-23 15:27 [2024-09-22]
                            
Ссылки на объект            
Ссылка                      HKLM\SYSTEM\ControlSet001\Services\zapret\ImagePath
ImagePath                   C:\dis_fix\bin\winws.exe --wf-tcp=80,443 --wf-udp=443,50000-65535 --filter-udp=443 --hostlist="C:\dis_fix\list-general.txt" --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=6 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic="C:\dis_fix\bin\quic_initial_www_google_com.bin" --new --filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-fake-quic="C:\dis_fix\bin\quic_initial_www_google_com.bin" --new --filter-tcp=80 --hostlist="C:\dis_fix\list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new --filter-tcp=443 --hostlist="C:\dis_fix\list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls="C:\dis_fix\bin\tls_clienthello_www_google_com.bin"
DisplayName                 zapret DPI bypass : winws1
Description                 zapret DPI bypass software
zapret                      тип запуска: Авто (2)
Изменен                     10.10.2024 в 07:20:12
                            
 

 

 

 

 

Чистим?

Или вы используете его для серфинга в сети Интернет?

Изменено 23 октября, 2024 пользователем safety

[safety]

Полное имя                  C:\DIS_FIX\BIN\WINDIVERT64.SYS

Цитата

Имя файла                   WINDIVERT64.SYS
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске
                            
Elastic                     Windows.VulnDriver.WinDivert
Kaspersky                   not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen
www.virustotal.com          2024-10-23 14:40 [2022-09-21]
                            
Ссылки на объект            
Ссылка                      HKLM\SYSTEM\ControlSet001\Services\WinDivert\ImagePath
ImagePath                   \??\C:\dis_fix\bin\WinDivert64.sys
DisplayName                 WinDivert
WinDivert                   тип запуска: Отключено (4)
Изменен                     23.10.2024 в 18:42:01

                            

 

Что еще можно сделать: можно очистить отчеты Касперского и понаблюдать за детектами еще некоторое время.

Потом примем  решение: чистить или нет, если вы используете полезные функции данного софта.

[Mausidze]

Это известная мне программа/утилита, необходимая для работы, с ней всё в порядке, думаю, в ближайшей полной проверке добавлю её в список для игнорирования.
Если всё остальное исправлено, то безмерно благодарен!

[safety]

Хорошо, ждем результаты новой полной проверки

+

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[Mausidze]

Извиняюсь за задержку, полная проверка заняла куда больше времени. Прикрепляю файлы.
После проверки осталось обработать несколько файлов, как раз этим и занимаюсь попутно, но с ними особых проблем не возникало и думаю, что сам антивирус с ними разобраться должен.
Файл полной проверки оказался слишком громоздким, поэтому разделил его на несколько частей (otchet#.txt)
 

SecurityCheck.txt otchet3.txt otchet4.txt

otchet5.txt