[РЕШЕНО] HEUR:Trojan.multi.GenBadur.genw не удаляется антивирусом Kaspersky

[harmonrosta]

Добрый день, у меня аналогичная проблема, я скачал  Farbar Recovery Scan Tool, просканировал, данные в архиве прикладываю, подскажите как сделать к од для исправления проблемы?

папка.zip Addition.txt FRST.txt

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[harmonrosta]

Антивирус постоянно находит HEUR:Trojan.multi.GenBadur.genw, после лечения с перезагрузкой все повторяется заново

CollectionLog-2024.10.30-09.24.zip

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Client Helper 6.1.6

IObit Driver Booster 10.6.0.141

uTorrent 8.2.9

Кнопки сервисов Яндекса на панели задач

 

Что не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\admin\appdata\roaming\utorrent\pro\utorrentpro.exe');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
 QuarantineFile('C:\ProgramData\windowstask\amd.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\appmodule.exe', '');
 QuarantineFile('c:\users\admin\appdata\roaming\utorrent\pro\utorrentpro.exe', '');
 QuarantineFileF('c:\programdata\windowstask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1729858528443');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1729858530486');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
 DeleteFile('C:\ProgramData\windowstask\amd.exe', '');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe', '');
 DeleteFile('c:\users\admin\appdata\roaming\utorrent\pro\utorrentpro.exe', '32');
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteDirectory('c:\programdata\windowstask');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[harmonrosta]

Сделал все, как вы сказали, прикладываю новый лог

CollectionLog-2024.10.30-11.18.zip

[Sandor]

Не всё. Перечисленные мной программы по-прежнему в списке установленных.

[harmonrosta]

Прошу прощения, немного поторопился, вроде теперь точно все

CollectionLog-2024.10.30-11.46.zip

[Sandor]

Хорошо. Теперь удалите старые и соберите новые логи FRST.txt и Addition.txt

[harmonrosta]

Addition.txt FRST.txt

[Sandor]

Видны следы не долеченного майнера.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt
 

[harmonrosta]

СделаноAV_block_remove_2024.10.30-12.58.log

AV_block_remove_2024.10.30-12.58.log

[thyrex]

Вас просили еще собрать новые логи FRST.txt и Addition.txt

[harmonrosta]

Addition.txt FRST.txt

[Sandor]

Хорошо, продолжаем.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {A2A5311A-D397-4AC7-9A85-B29E4E50A5D9} - \RunGame -> Нет файла <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxp://rusearch.co"
  CHR DefaultSearchURL: Default -> hxxp://searchtds.com/?q={searchTerms}
  C:\Users\ADMIN\AppData\Local\Google\Chrome\User Data\Default\Extensions\ahnhenimbjbnflmbkcehhfbjipckohkk
  C:\Users\ADMIN\AppData\Local\Yandex\YandexBrowser\User Data\Profile 2\Extensions\lmhclibmnlggjpddpiokclngmiihglnd
  2024-10-29 10:55 - 2024-10-30 08:49 - 000011943 _____ C:\Users\ADMIN\ex-list2.json
  2024-10-29 10:55 - 2024-10-29 10:55 - 000000264 _____ C:\Users\ADMIN\uTorrentPro.dat
  2024-10-25 15:15 - 2024-10-30 11:15 - 000000000 ____D C:\Users\ADMIN\AppData\Roaming\uTorrentPro
  2024-10-25 15:15 - 2024-10-25 15:15 - 000002128 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\uTorrent.lnk
  2024-10-25 15:15 - 2024-10-25 15:15 - 000000000 ____D C:\Users\ADMIN\AppData\Local\utorrentpro-updater
  2024-10-25 15:10 - 2024-10-25 16:12 - 000000000 ____D C:\Users\ADMIN\AppData\Local\clienthelper-updater
  2024-10-25 15:10 - 2024-10-25 15:10 - 000000000 ____D C:\Users\ADMIN\AppData\Roaming\com.gtoppocket.launcher
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Вспомните, с какого торрента качали

Цитата

FL Studio Producer Edition 20.9.2 (Build 2963) RePack by Soul Storm

 

Изменено 30 октября пользователем Sandor

[harmonrosta]

stoigr.org, торрент оттуда брал

Fixlog.txt