Перейти к содержанию
Правила раздела

[РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw не лечится

Jortin

Автор Jortin
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Jortin

Jortin

Опубликовано
Опубликовано

Доброго дня! Неизвестно когда успел подцепить вирус HEUR:Trojan.Multi.GenBadur.genw. 

По поведению вируса все то же самое что и написано в его описании, сначала появляется окно с предложением лечения вируса с перезагрузкой, но после нее, он появляется  вновь. Файл автологгера прикрепляю.

CollectionLog-2024.11.07-09.15.zip

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Цитата

Client Helper 6.1.6

uTorrent 8.2.9

удалите через Панель кправления - Программы и компоненты.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\virial tefrum\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\virial tefrum\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 DeleteSchedulerTask('iTop Screen Recorder SkipUAC (Virial Tefrum)');
 DeleteSchedulerTask('iTop Screen Recorder Startup');
 DeleteSchedulerTask('iTop Screen Recorder Update');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1729930982797');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1729930994023');
 DeleteSchedulerTask('EdgeUpdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S2 eduWGManager$eduVPN; "C:\Program Files\eduVPN\WireGuard\eduWGSvcHost.exe" eduVPN Manager [X]
S2 OpenVPNServiceInteractive$eduVPN; "C:\Program Files\eduVPN\OpenVPN\openvpnserv.exe" -instance interactive $eduVPN [X]
2024-10-26 11:23 - 2024-11-07 17:13 - 000000000 ____D C:\Users\Virial Tefrum\AppData\Roaming\uTorrentPro
2024-10-26 11:23 - 2024-10-26 11:23 - 000000264 _____ C:\Users\Virial Tefrum\uTorrentPro.dat
2024-10-26 11:22 - 2024-10-26 11:22 - 000002184 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\uTorrent.lnk
2024-10-26 11:22 - 2024-10-26 11:22 - 000000000 ____D C:\Users\Virial Tefrum\AppData\Local\utorrentpro-updater
2024-10-26 11:07 - 2024-11-07 17:07 - 000000000 ____D C:\Program Files\Client Helper
2024-10-26 11:07 - 2024-11-07 17:06 - 000019003 _____ C:\Users\Virial Tefrum\ex-list2.json
2024-10-26 11:07 - 2024-10-27 00:33 - 000000000 ____D C:\Users\Virial Tefrum\AppData\Local\clienthelper-updater
2024-10-26 11:07 - 2024-10-26 11:15 - 000000000 ____D C:\Users\Virial Tefrum\AppData\Roaming\ClientHelper
2024-10-06 07:11 - 2024-10-06 07:21 - 000000000 __SHD C:\ProgramData\Setup
ContextMenuHandlers1_S-1-5-21-456851353-2300016829-2681371084-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Virial Tefrum\AppData\Local\Kingsoft\WPS Office\12.2.0.18283\office6\kwpsmenushellext64.dll -> Нет файла
ContextMenuHandlers4_S-1-5-21-456851353-2300016829-2681371084-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Virial Tefrum\AppData\Local\Kingsoft\WPS Office\12.2.0.18283\office6\kwpsmenushellext64.dll -> Нет файла
C:\Users\Virial Tefrum\Desktop\Выбор языка Mad Max Road Warrior.lnk
C:\Users\Virial Tefrum\Desktop\Хуйня вани\Кванториум\Куликовка 2023 смена вторая\финальный видос\заготовка.prproj — ярлык.lnk
C:\Users\Virial Tefrum\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Браузер Opera.lnk
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-456851353-2300016829-2681371084-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-456851353-2300016829-2681371084-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{FA84C398-81EC-41C4-AC50-44CDE0569089}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{68F30A98-14EC-4AC9-8A9A-BB5A913E3EF8}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{86E34A13-CEE9-4F40-95F1-8445DF3D46F0}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [{3B3706F6-4A0B-4636-ABC7-74ADF08B3876}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [{DB33C371-239F-463F-AF25-57158565E4D4}] => (Allow) C:\Users\Virial Tefrum\AppData\Local\Programs\Opera\opera.exe => Нет файла
FirewallRules: [{FB6BD2D6-05E9-40CF-8984-08A334C2CFC0}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{80A9D6F4-44F5-432D-BDB7-6285CF5A7C03}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{AF575B49-D1FE-40D0-9999-595BDBD2750F}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [{850A265D-4AAA-4EE8-9615-EF09D05628B8}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [TCP Query User{C62F4CFC-F05C-4197-B456-1960173F1229}D:\d4r_enru\reflectionnetworklauncher\reflectionnetworklauncher.exe] => (Allow) D:\d4r_enru\reflectionnetworklauncher\reflectionnetworklauncher.exe => Нет файла
FirewallRules: [UDP Query User{21A99CCC-935A-4430-B1FF-4E35C4ACFFBE}D:\d4r_enru\reflectionnetworklauncher\reflectionnetworklauncher.exe] => (Allow) D:\d4r_enru\reflectionnetworklauncher\reflectionnetworklauncher.exe => Нет файла
FirewallRules: [{D4AADECD-9EDE-4D1C-A6A2-6ED2A4675FD9}] => (Allow) E:\SteamLibrary\steamapps\common\PropHunter\PropHunter.exe => Нет файла
FirewallRules: [{AD7B1BD9-9553-4D77-9E08-90C50A235733}] => (Allow) E:\SteamLibrary\steamapps\common\PropHunter\PropHunter.exe => Нет файла
FirewallRules: [TCP Query User{9CC09583-B730-4AEF-AF1C-D7D082998B4A}E:\anno 1800 by xatab\anno 1800\bin\win64\anno1800.exe] => (Allow) E:\anno 1800 by xatab\anno 1800\bin\win64\anno1800.exe => Нет файла
FirewallRules: [UDP Query User{83597D4D-B4BE-479A-8F9B-BAA99D5720ED}E:\anno 1800 by xatab\anno 1800\bin\win64\anno1800.exe] => (Allow) E:\anno 1800 by xatab\anno 1800\bin\win64\anno1800.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
thyrex

thyrex

Опубликовано
Опубликовано

 

Цитата

uTorrent 8.2.9 v.8.2.9 Внимание! Подозрение на Adware!

я ведь в своем первом сообщении просил его удалить. Вы это не сделали почему-то.

 

По возможности исправьте:

 

Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.22286 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Discord v.1.0.9033 Внимание! Скачать обновления
Audacity 3.6.4 v.3.6.4 Внимание! Скачать обновления
Spotify v.1.2.48.405.gf2c48e6f Внимание! Скачать обновления
Microsoft Edge v.130.0.2849.68 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
 

На этом закончим.

thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Two2Face
      [РЕШЕНО] Подозрительный проводник в диспетчере задач и возможно нагруженная память
      Автор Two2Face
      Добрый день. Сегодня залез в диспетчер задач, а там я заметил, что один из процессоров нагружает 18% ЦП. Это - 'Проводник'. После я решил посмотреть в программе Process Explorer, там наш проводник уже высвечивается, как - 'explorer.exe', без иконки (внизу бегают разные explorer.exe, которые высвечиваются с иконками в виде жёлтой папки, как в диспетчере задач, а этот без иконки и под 18%, но возможно здесь я чего-то не понимаю). Ещё память нагружена под 29, но у меня открыт гугл (много вкладок), Дискорд, ВПН и протокол, поэтому не могу быть полностью уверен в том, что в этом пункте тоже вирус (не знаю, нужно ли это здесь, но 5090 и 9950x3d). Кстати, когда я пытаюсь завершить проводник в диспетчере задач, то у меня комп постоянно уходит в перезагрузку (хотел закрыть процесс, что бы потом запустить новую задачу, вдруг завис). 


      CollectionLog-2026.01.11-07.51.zip
    • Николай PO
      Производительность ноутбука на windows 11, не устанавливаются определенные антивирусы (malwarebytes и другие)
      Автор Николай PO
      Добрый день! Помогите пожалуйста. Производительность ноутбука на windows 11, не устанавливаются определенные антивирусы (malwarebytes и другие).
      Данная проблема на двух ноутбуках:
      1.появились мелкие подлагивания в играх иногда в других программах;
      2.не устанавливается антивирус malwarebytes, при установки других антивирусов и запуске проверки появляется синий экран;
      3.инструмент smartfix не устанавливается полностью;
      4. переустановка операционной системы не помогла;
      5.установка на другой ssd не помогла;
      6. переустановка биос не помогла.
      Прикрепляю результаты сканирования в Farbar Recovery Scan ToolAddition.txtFRST.txt
    • DEFFlorator
      Поймал друг на моем ноуте вирус CAAServises (он же под именем SQL Servises). Он постоянно висит в автозагрузках, при удалении появляется вновь. Сторонними прогами, Virus Total'ом удалить также не получилось.
      Автор DEFFlorator
      Обнаружил данный вирус, так как при подключении к Инету сильно нагружается и греется ЦП. Использование почти всегда 100 %, частоты выше 3,5 ГГц при штатной 2,3 ГГц. После поисков ответов в инете обнаружил связанный с вирусом файл explorer.exe, в разделе "Безопасность" которого имеется некий админ. Изменение разрешений невозможно (требуется разрешение этого самого левого админа), при удалении сразу появляется вновь.
      Сам вирус находится в папке Program Files.



      CollectionLog-2026.01.09-13.55.zip

    • Константин Д
      [РЕШЕНО] Помощь в удалении Tool.BtcMine.2714,2754
      Автор Константин Д
      Добрый день! Вчера заметил, что в играх стал сильно проседать ФПС. При попытке скачать Dr.Web браузер закрывается, защитник Windows выключен, диспетчер задач не дает посмотреть автозагрузку приложений. В безопасном режиме CureIt обнаружил угрозы: Tool.BtcMine.2714 (объекты amd.exe, appmodule.exe), Trojan.BtcMine.2754, taskhost.exe,taskhostw.exe, Trojan.Autoit.1559, Trojan.Starter.8242. Autologger запустился только в безопасном режиме с измененным именем. В реестре отключен Windows Defender, включить через задачи тоже не дает- нет доступа. 
      CollectionLog-2026.01.06-12.21.zip
    • Ogurtsovv_KZN
      [РЕШЕНО] Удаление вируса CAASevice.exe
      Автор Ogurtsovv_KZN
      Здравствуйте! Не так давно обнаружил на своем компьютере вирус, который отдельно запускал задачу "Microsoft Network Realtime Inspection Service". Эта задача нагружала видеокарту компьютера на 100% и стало понятно, что она вредоносная, т.к. есть аналогичная задача с точно таким же названием, но уже не использующая практически никаких ресурсов ПК. Ещё интересен тот факт, что на компьютере Windows 11 недавно полностью переустанавливалась и вот на, по сути, "чистой" системе появился вирус. 
      Файл CAAService.exe обнаружил по пути C:\ProgramFata\CAAService, там же были обнаружены "Microsoft Network Realtime Inspection Service" и ещё парочку dll-файлов. Попробовал вручную удалить всю папку и после перезагрузки компьютера папка снова вернулась на место, но уже только с файлом CAAService.exe, рядом с ним больше ничего нет. Также, до удаления папки я снял с автозагрузки в диспетчере задач файл CAAService.exe и после перезагрузки системы он сам не включался и больше не потреблял никаких ресурсов. Таким образом получается, что сам вирус как бы есть, но он ничего не делает и сам постоянно восстанавливается после удаления (более того, он добавляет себя в список исключений для антивируса Windows, вследствие чего сам по себе не блокируется и не удаляется). По крайней мере пока. Тем не менее, хотелось бы избавиться от него навсегда.
      Я видел, что вы уже помогали другим пользователям в решении подобной проблемы. Вы сможете мне помочь?
×
×
  • Создать...