[РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw после лечения с перезагрузкой восстанавливается. Объект: proc:\C:\Program Files\uTorrentPro\uTorrentPro.exe

[Дмитрий1421441]

Здравствуйте, антивирус не смог удалить этот файл. Скорее всего он автоматически установился при скачивании игры. Как будет лучше от него избавиться? 

Изменено 31 октября, 2024 пользователем Дмитрий1421441

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.

[Дмитрий1421441]

CollectionLog-2024.11.01-18.03.zip

[thyrex]

Цитата

uTorrent 8.2.8

удалите через Установку программ.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 TerminateProcessByName('c:\program files\utorrentpro\utorrentpro.exe');
 DeleteFile('c:\program files\utorrentpro\utorrentpro.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1725823803352');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1725823805415');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Дмитрий1421441]

CollectionLog-2024.11.01-18.59.zip    
quarantine.7z я отправил по форме отправки карантина. Также прикрепляю новые данные Autologger

 

извините, вот имя карантина
2024.11.01_quarantine_05d79301398d40afec3e866ba35aa149.7z

 

Удалил uTorrent 8.2.8

 

CollectionLog-2024.11.01-19.37.zip

Изменено 1 ноября, 2024 пользователем Дмитрий1421441

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Дмитрий1421441]

FRST.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-09-08 22:30 - 2024-11-01 18:45 - 000000000 ____D C:\Users\user\AppData\Roaming\uTorrentPro
2024-09-08 22:30 - 2024-09-20 08:36 - 000000264 _____ C:\Users\user\uTorrentPro.dat
2024-09-08 22:29 - 2024-11-01 19:33 - 000000000 ____D C:\Program Files\uTorrentPro
2024-09-08 22:29 - 2024-10-31 17:46 - 000000000 ____D C:\Users\user\AppData\Local\utorrentpro-updater
2024-09-08 22:29 - 2024-10-31 17:31 - 000000000 ____D C:\Users\user\AppData\Local\steamclienthelper-updater
2024-09-08 22:29 - 2024-09-08 22:34 - 000009423 _____ C:\Users\user\ex-list2.json
2024-09-08 22:29 - 2024-09-08 22:29 - 000000000 ____D C:\Users\user\AppData\Roaming\SteamClientHelper
2024-09-08 22:29 - 2024-09-08 22:29 - 000000000 ____D C:\Users\user\AppData\Roaming\com.gtoppocket.launcher
2024-09-08 22:29 - 2024-09-08 22:29 - 000000000 ____D C:\Program Files\Steam Client Helper
AlternateDataStreams: C:\Users\user\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\user\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{E5D7C8C4-3932-4CC4-86F6-73C47E4E61F9}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{BB5D4EE5-1DF9-46BC-A150-8C21C0CB470A}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{3F0B4A81-9858-460F-99A8-CFB6E783CAD2}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{8A305D46-E0CE-4C23-9640-28CD82497458}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [TCP Query User{C52C66F3-F55A-4077-A440-DC9E506B439A}C:\games\far cry 6 - ultimate edition\bin\farcry6.exe] => (Block) C:\games\far cry 6 - ultimate edition\bin\farcry6.exe => Нет файла
FirewallRules: [UDP Query User{88698AA7-60B8-4A92-BAA1-3416EAC48E09}C:\games\far cry 6 - ultimate edition\bin\farcry6.exe] => (Block) C:\games\far cry 6 - ultimate edition\bin\farcry6.exe => Нет файла
FirewallRules: [TCP Query User{AF9EB743-0F6E-44E8-B3A9-904DC975E0EA}C:\users\user\appdata\local\discord\app-1.0.9162\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9162\discord.exe => Нет файла
FirewallRules: [UDP Query User{AEEBB460-BFBB-402B-87AF-DB57EC0C7357}C:\users\user\appdata\local\discord\app-1.0.9162\discord.exe] => (Allow) C:\users\user\appdata\local\discord\app-1.0.9162\discord.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

[Дмитрий1421441]

Fixlog.txt

[thyrex]

Проблема решена?

[Дмитрий1421441]

Да, антивирус косперского больше не видит этот троян и он был успешно удалён

Большое спасибо

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Дмитрий1421441]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Microsoft Visual Studio Code (User) v.1.85.1 Внимание! Скачать обновления
Python 3.12.0 (64-bit) v.3.12.150.0 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.124.0.2478.80 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
WinRAR 6.24 (64-разрядная) v.6.24.0 Внимание! Скачать обновления
Discord v.1.0.9157 Внимание! Скачать обновления
Microsoft Teams v.1.4.00.19572 Внимание! Скачать обновления
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u431-windows-x64.exe - Windows Offline (64-bit))^
Yandex v.24.10.1.598 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Microsoft Edge v.124.0.2478.80 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

Bonjour v.2.0.2.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На этом закончим.

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".