HEUR: Trojan. Multi.GenBadur.genw после лечения появляется опять.

[Ra11lex]

Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 

Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 

 

ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z

[thyrex]

Цитата

 

Client Helper 6.1.4

uTorrent 8.2.9

 

удалите через Установку

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-1687243544-3482432475-3959794677-1001\...\MountPoints2: {722a3292-a8f3-11ee-9bb7-1c1bb5750ba6} - "F:\RunGame.exe" 
HKU\S-1-5-21-1687243544-3482432475-3959794677-1001\...\MountPoints2: {de1acacb-d05f-11ed-9a87-1c1bb5750ba6} - "F:\setup.exe" 
HKU\S-1-5-21-1687243544-3482432475-3959794677-1015\...\Run: [YandexBrowserAutoLaunch_559429A17782882BD6B071F990CB9C91] => "C:\Users\Nikiv\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
IFEO\FF_.exe: [Debugger] 0
IFEO\KMPlayer.exe: [Debugger] 0
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1687243544-3482432475-3959794677-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {5C105FC9-A4BA-4734-AC93-303F116C16AD} - System32\Tasks\EdgeUpdate => C:\windows\system32\cmd.exe [323584 2024-06-14] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable
Task: {7BE896F3-79A1-4D95-AC49-DF18E4794FEA} - System32\Tasks\EdgeUpdateTaskUser => C:\Windows\System32\wscript.exe [204800 2024-07-11] (Microsoft Windows -> Microsoft Corporation) -> /b "C:\ProgramData\Microsoft\wext.vbs"
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Нет файла)
Task: {6F9E56B4-3258-4AE9-AD13-D737C114FFA3} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_LogonUpdateResults => %systemroot%\system32\MusNotification.exe  LogonUpdateResults (Нет файла)
Task: {85E42C83-2953-46E1-BB4B-2DA6BAA2103D} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_UpdateInterval => %systemroot%\system32\MusNotification.exe  Display (Нет файла)
Task: {6ECC17BA-2F21-4D1D-A937-AF5B7E29ED7A} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot => %systemroot%\system32\MusNotification.exe  Reboot (Нет файла)
Task: {69BAD529-B881-4008-8131-01BE468DB9B0} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC ReadyToReboot (Нет файла)
Task: {BC9E4351-00C2-42C5-9312-CBCD741E7BC2} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery ReadyToReboot (Нет файла)
Task: {071A0CAF-202C-479A-842A-14246E469140} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_Broker_Display => %systemroot%\system32\MusNotification.exe  Display (Нет файла)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
Task: {F6D2963D-B249-4584-B805-F7ECE9022811} - System32\Tasks\uTorrentProUpdaterV5_t1727556390685 => C:\Users\itan_\AppData\Roaming\utorrent\pro\uTorrentPro.exe [157676544 2024-09-25] (GitHub, Inc.) [Файл не подписан]
Task: {A539C22C-5634-4C52-814C-526E9D7E8E22} - System32\Tasks\uTorrentProUpdaterV6_t1727556392761 => C:\Users\itan_\AppData\Roaming\utorrent\pro\uTorrentPro.exe [157676544 2024-09-25] (GitHub, Inc.) [Файл не подписан]
Task: {4654C416-D5C4-4E97-89D8-CF60ABBFC950} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
S3 EuGdiDrv; \SystemRoot\system32\EuGdiDrv.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2024-09-28 23:46 - 2024-09-28 23:46 - 000000264 _____ C:\Users\itan_\uTorrentPro.dat
2024-09-28 23:46 - 2024-09-28 23:46 - 000000000 ____D C:\Users\itan_\AppData\Local\utorrentpro-updater
2024-09-28 23:41 - 2024-10-24 23:04 - 000059863 _____ C:\Users\itan_\ex-list2.json
2024-09-28 23:41 - 2024-10-05 23:09 - 000000000 ____D C:\Users\itan_\AppData\Local\clienthelper-updater
2024-09-28 23:41 - 2024-09-28 23:46 - 000000000 ____D C:\Users\itan_\AppData\Roaming\ClientHelper
2024-09-28 23:41 - 2024-09-28 23:41 - 000003368 _____ C:\WINDOWS\system32\Tasks\RunGame
2024-09-28 23:41 - 2024-09-28 23:41 - 000000000 ____D C:\Users\itan_\AppData\Roaming\com.gtoppocket.launcher
2024-09-28 23:41 - 2024-09-28 23:41 - 000000000 ____D C:\Program Files\Client Helper
CustomCLSID: HKU\S-1-5-21-1687243544-3482432475-3959794677-1001_Classes\CLSID\{E6742338-571D-482A-A8F6-3AAC58ADCFBF}\localserver32 -> "C:\Program Files (x86)\Bitrix24\Bitrix24.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-1687243544-3482432475-3959794677-1001_Classes\CLSID\{84B5A313-CD5D-4904-8BA2-AFDC81C1B309}\InprocServer32 -> C:\Users\itan_\AppData\Local\GoToMeeting\19228\G2MOutlookAddin64.dll => Нет файла
FirewallRules: [{CEB16F40-EEA9-4216-81F6-30A917055441}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.86.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{61B049F4-D7DC-444F-B87D-6190F5E84242}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.86.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{9482E3DF-C2F2-48E9-8AB1-24AE9C7DF21B}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.86.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{49B6F4C4-89B5-492A-A734-3BC85F0A0725}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.86.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{9BD9C56D-C189-4F25-8FE0-1546F65C5EC0}] => (Allow) C:\Program Files (x86)\Tensor Company Ltd\SBIS3Plugin\sbis3plugin.exe => Нет файла
FirewallRules: [{69B2CA21-C2B0-4F2D-9AE1-135A6D7779F9}] => (Allow) C:\Program Files (x86)\Tensor Company Ltd\SBIS3Plugin\sbis3plugin.exe => Нет файла
FirewallRules: [{EA799D91-6139-496C-BF61-4A81A89FB82D}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{52B22027-67AF-4352-B2BC-9091F654CE43}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{BFBE725C-F129-434F-A537-56EFB9736EE8}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{67477C89-47CE-403E-A2C7-072762CAAA6F}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{FA081A5A-7141-45FA-843E-6A109E009388}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.408.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{B4DD9C44-A879-4F7C-862C-5FF3E934A30A}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.408.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{9C2707BE-19AC-4409-97E4-0BDFA2B7375C}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.408.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{F9380C36-2AFC-4CA0-81B9-87FE755768B4}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.408.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{38B6E3C2-5C5F-4425-B84B-9556F500023F}] => (Allow) LPort=1688
FirewallRules: [{D8EAF38B-5618-4BD5-9DA5-6910F83636F9}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => Нет файла
FirewallRules: [UDP Query User{CD29EC5A-D712-4AA9-A9AA-3893D085A87A}E:\data\downloads\need.for.speed.heat.deluxe.edition.origin.rip-insaneramzes\need for speed heat\needforspeedheat.exe] => (Block) E:\data\downloads\need.for.speed.heat.deluxe.edition.origin.rip-insaneramzes\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [TCP Query User{A5F37AAA-0D15-4E57-93C8-94B972E54E3B}E:\data\downloads\need.for.speed.heat.deluxe.edition.origin.rip-insaneramzes\need for speed heat\needforspeedheat.exe] => (Block) E:\data\downloads\need.for.speed.heat.deluxe.edition.origin.rip-insaneramzes\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [UDP Query User{4293DAE8-92BC-47D7-8DC6-BD656A0ED433}E:\data\downloads\star.wars.jedi.fallen.order.deluxe.edition.origin.rip-insaneramzes\jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Block) E:\data\downloads\star.wars.jedi.fallen.order.deluxe.edition.origin.rip-insaneramzes\jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Нет файла
FirewallRules: [TCP Query User{ED4D626D-BEE9-4147-9491-7309961A3490}E:\data\downloads\star.wars.jedi.fallen.order.deluxe.edition.origin.rip-insaneramzes\jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Block) E:\data\downloads\star.wars.jedi.fallen.order.deluxe.edition.origin.rip-insaneramzes\jedi fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Нет файла
FirewallRules: [UDP Query User{D55C6E36-45E0-478F-B8BD-A0C30143FEF2}C:\games\world_of_tanks_ru\win32\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win32\worldoftanks.exe => Нет файла
FirewallRules: [TCP Query User{C05AA02D-16CF-4F62-91B8-4F08A08F36DC}C:\games\world_of_tanks_ru\win32\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win32\worldoftanks.exe => Нет файла
FirewallRules: [{36FBC4F1-B6EB-4541-A51D-5AF50A5A185D}] => (Allow) C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Outlook_16010.9126.2116.0_x86__8wekyb3d8bbwe\Office16\OUTLOOK.exe => Нет файла
FirewallRules: [{B04710CB-95DA-42AC-8611-A27EA3D49668}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MMSSHost\MMSSHost.exe => Нет файла
FirewallRules: [{BD1D4D03-DE10-40C5-AF06-34301BD804E5}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe => Нет файла
FirewallRules: [TCP Query User{AAB39042-68F5-4C48-8716-5C49D6B457A9}C:\program files (x86)\1cv8\8.3.13.1644\bin\1cv8.exe] => (Block) C:\program files (x86)\1cv8\8.3.13.1644\bin\1cv8.exe => Нет файла
FirewallRules: [UDP Query User{AA81A1CC-8B3E-40EB-862C-019861AD1055}C:\program files (x86)\1cv8\8.3.13.1644\bin\1cv8.exe] => (Block) C:\program files (x86)\1cv8\8.3.13.1644\bin\1cv8.exe => Нет файла
FirewallRules: [TCP Query User{36F0F532-8700-4C6E-B010-FDF9B16E5B7C}C:\program files (x86)\1cv8\8.3.13.1644\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.13.1644\bin\1cv8c.exe => Нет файла
FirewallRules: [UDP Query User{CBA62F7A-CC36-4317-BBD6-B888CE4735AA}C:\program files (x86)\1cv8\8.3.13.1644\bin\1cv8c.exe] => (Block) C:\program files (x86)\1cv8\8.3.13.1644\bin\1cv8c.exe => Нет файла
FirewallRules: [TCP Query User{FD7B409B-F4F4-4202-A66F-627E89D54D3F}C:\program files (x86)\1cv8\8.3.13.1644\bin\1cv8.exe] => (Block) C:\program files (x86)\1cv8\8.3.13.1644\bin\1cv8.exe => Нет файла
FirewallRules: [UDP Query User{5D4CD744-C56D-4447-94F8-E22E54C09D5E}C:\program files (x86)\1cv8\8.3.13.1644\bin\1cv8.exe] => (Block) C:\program files (x86)\1cv8\8.3.13.1644\bin\1cv8.exe => Нет файла
FirewallRules: [{D6751C62-E62B-46D9-B4DD-412A1FB955A4}] => (Allow) C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe (Intel Corporation -> )
FirewallRules: [TCP Query User{1C34D0C7-00B0-4093-BD5C-816390356E98}E:\data\games\world_of_tanks_ru\worldoftanks.exe] => (Allow) E:\data\games\world_of_tanks_ru\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{CDB075EE-1A3B-454A-8FBC-734375A60296}E:\data\games\world_of_tanks_ru\worldoftanks.exe] => (Allow) E:\data\games\world_of_tanks_ru\worldoftanks.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Ra11lex]

Здравствуйте! 

Уточните, как именно выполнить указанный Вами код в пункте 1? Через AVZ?

Если да, то ошибку выдает:

 

Остальное сделал.

[thyrex]

Нужно всего лишь прочитать внимательно инструкцию: ее первый пункт написан перед блоком с текстом скрипта, а продолжение уже после скрипта.

[Ra11lex]

07.11.2024 в 21:01, thyrex сказал:

Нужно всего лишь прочитать внимательно инструкцию: ее первый пункт написан перед блоком с текстом скрипта, а продолжение уже после скрипта.

Здравствуйте! Будьте так любезны, соблаговолите потратить Ваше время, и все же разъяснить, где именно Вы указали в какой конкретно программе выполнять скрипт? Цитирую Ваш текст: 

Цитата

 

удалите через Установку

 
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Обратите внимание: будет выполнена перезагрузка компьютера.

 

В первом пункты Вы написали, что код скопировать в буфер обмена, а дальше то, что с ним делать?

Пункты 2 и 3 я выполнил.

[thyrex]

1. Скопировать текст скрипта

 

Далее

25.10.2024 в 00:56, thyrex сказал:

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Или Вам программу в п. 2 нужно было красным цветом указать, чтобы Вы ее увидели???