[РЕШЕНО] HEUR:Trojan.Script.Generic

[dogmos]

Прошу помощи в удалении трояна.

 

CollectionLog-2024.11.04-13.32.zip

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Bonjour

Client Helper 6.1.6

uTorrent 8.2.9

 

Что не сможете удалить стандартно, удалите принудительно при помощи Geek Uninstaller

 

Далее:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
 QuarantineFile('C:\Users\IGOR\AppData\Roaming\utorrent\pro\uTorrentPro.exe', '');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1730639624028');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1730639626098');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
 DeleteFile('C:\Users\IGOR\AppData\Roaming\utorrent\pro\uTorrentPro.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[dogmos]

Здравствуйте.

Выполнил все рекомендации. Bonjour не удаляется ни стандартно, ни принудительно. Ошибка удаления - Файл находится на сетевом ресурсе. После выполнения скрипта AVZ и перезагрузки компьютера, Касперский все еще показывает наличие трояна(как в первом сообщении).

 

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {DC226E9E-9B30-4AE4-98CD-AF8EE5A06A54} - System32\Tasks\Opera scheduled Autoupdate 1514047787 => C:\Program Files\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
  Task: {EE4439F2-6DE0-4612-813E-BEFB62235A17} - System32\Tasks\Opera scheduled Autoupdate 1540665609 => C:\Program Files\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
  C:\Users\IGOR\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\illhpfgnlmjojcaidlifcfajpghjefll
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  2024-11-03 16:13 - 2024-11-03 17:55 - 000000000 ____D C:\Users\IGOR\AppData\Roaming\uTorrentPro
  2024-11-03 16:13 - 2024-11-03 16:13 - 000000264 _____ C:\Users\IGOR\uTorrentPro.dat
  2024-11-03 16:13 - 2024-11-03 16:13 - 000000000 ____D C:\Users\IGOR\AppData\Local\utorrentpro-updater
  2024-11-03 16:08 - 2024-11-04 14:24 - 000000000 ____D C:\Program Files\Client Helper
  2024-11-03 16:08 - 2024-11-03 17:43 - 000000000 ____D C:\Users\IGOR\AppData\Local\clienthelper-updater
  2024-11-03 16:08 - 2024-11-03 17:00 - 000015099 _____ C:\Users\IGOR\ex-list2.json
  2024-11-03 16:08 - 2024-11-03 16:13 - 000000000 ____D C:\Users\IGOR\AppData\Roaming\ClientHelper
  2024-11-03 16:08 - 2024-11-03 16:08 - 000000000 ____D C:\Users\IGOR\AppData\Roaming\com.gtoppocket.launcher
  FirewallRules: [{CBDE32E5-5224-4D23-B77E-3876EC4BE2E8}] => (Allow) LPort=8301
  FirewallRules: [{E1CFC2D6-FA6C-49BA-ABFE-42190C583AE1}] => (Allow) LPort=8298
  FirewallRules: [{E9D110D1-5A4A-476A-AD19-079FB40FE1EB}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{C5036202-A802-46D4-9EF9-51540D8A05AE}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{EC76A1FF-0B7E-472F-808B-CB09D849346F}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{A176D266-C32B-4277-8BFE-43201C3484E8}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{D9B6C336-A7B3-46F8-9D65-35E818FE2D09}] => (Allow) LPort=8300
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[dogmos]

Выполнил.

Fixlog.txt

[Sandor]

Сделайте ещё раз проверку антивирусом Касперского и сообщите результат.

[dogmos]

13 минут назад, Sandor сказал:

Сделайте ещё раз проверку антивирусом Касперского и сообщите результат.

 

[Sandor]

Это реакция на файл в карантине FRST.

 

Сделайте заключительные шаги, после чего проверите ещё раз.

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Будут удалены все файлы и папки, включая карантин.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[dogmos]

Выполнил п.1 и п.2. После этого запустил полную проверку Касперского - чисто.

 

SecurityCheck.txt

[Sandor]

Отлично!

 

Исправьте по возможности:

 

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен контроль учетных записей (UAC)?

 

Kaspersky v.21.18.5.438 Внимание! Скачать обновления
AnyDesk v.ad 8.0.9 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
WinRAR 6.23 (64-разрядная) v.6.23.0 Внимание! Скачать обновления
Telegram Desktop v.5.6.1 Внимание! Скачать обновления
µTorrent v.3.6.0.46922 Внимание! Клиент сети P2P с рекламным модулем!.
Adobe Acrobat (64-bit) v.23.008.20533 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Opera Stable 114.0.5282.115 v.114.0.5282.115 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
 

Читайте Рекомендации после удаления вредоносного ПО

[dogmos]

Спасибо большое за помощь!

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".