HEUR:Trojan.Multi.GenBadur.gena

[Tinore]

Добрый день! Прошу помощи в удалении HEUR:Trojan.Multi.GenBadur.gena. 
Антивирус обнаружил вредоносное ПО после перезагрузки. Отправил на лечение, после лечения с перезагрузкой ситуация повторилась и вирус попросту остается.
В связи с этим, обращаюсь за помощью к Вам. 
Логи загружаю в соответствии с правилами и ожидаю Вашего ответа
Спасибо. 

CollectionLog-2024.11.04-10.27.zip

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Client Helper 6.1.4

uTorrent 8.2.9

Кнопка "Яндекс" на панели задач

 

Что не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller

 

Далее:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\welco\appdata\roaming\utorrent\pro\utorrentpro.exe');
 QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
 QuarantineFile('c:\users\welco\appdata\roaming\utorrent\pro\utorrentpro.exe', '');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1727641381715');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1727641383743');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
 DeleteFile('c:\users\welco\appdata\roaming\utorrent\pro\utorrentpro.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[Tinore]

Благодарю за ответ. Все выполнено, согласно Вашим рекомендациям. 
Новый CollectionLog прикреплен. 
Ожидаю Ваших дальнейших инструкций. 
 

CollectionLog-2024.11.04-11.40.zip

Изменено 4 ноября, 2024 пользователем Tinore

[Sandor]

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Tinore]

Готово, FRST.txt и Addition.txt прикрепил. 

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {31BC8DDE-ACF0-44FD-880B-315B339AE424} - System32\Tasks\HWiNFO => "C:\Windows\Branding\BenchMarkGSB\HWiNFO64Launcher.exe"  (Нет файла)
  C:\Users\welco\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\kbpnbonnhilfdihhodnflcplajklibbc
  CHR HKU\S-1-5-21-1066760611-3773971620-123686908-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
  2024-11-04 11:31 - 2024-09-28 15:35 - 000000000 ____D C:\Program Files\Client Helper
  2024-11-04 11:30 - 2024-09-28 15:41 - 000000000 ____D C:\Users\welco\AppData\Roaming\uTorrentPro
  2024-11-04 10:14 - 2024-09-28 15:36 - 000009491 _____ C:\Users\welco\ex-list2.json
  2024-09-28 15:41 - 2024-09-28 15:41 - 000000264 _____ () C:\Users\welco\uTorrentPro.dat
  FirewallRules: [{C3DB7A9E-9531-4C56-9056-3B611EBBC202}] => (Allow) LPort=32683
  FirewallRules: [{385AFDAF-5E97-4619-AD93-A61DF122C383}] => (Allow) LPort=33683
  FirewallRules: [{C26CF5AA-0CC3-455B-9D1A-59F869075ED7}] => (Allow) LPort=26822
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Tinore]

Прикрепляю. 

Fixlog.txt

[Sandor]

Хорошо. Теперь сделайте ещё раз проверку антивирусом Касперского и сообщите результат.

[Tinore]

При быстрой и полной проверке ничего не обнаружено. 
Надеюсь что проблема решена и более поводов для беспокойств - нету. 

Благодарю Вас за оперативную помощь! 

[Sandor]

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.