[РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw не лечится

[Jortin]

Доброго дня! Неизвестно когда успел подцепить вирус HEUR:Trojan.Multi.GenBadur.genw. 

По поведению вируса все то же самое что и написано в его описании, сначала появляется окно с предложением лечения вируса с перезагрузкой, но после нее, он появляется  вновь. Файл автологгера прикрепляю.

CollectionLog-2024.11.07-09.15.zip

[thyrex]

Здравствуйте.

 

Цитата

Client Helper 6.1.6

uTorrent 8.2.9

удалите через Панель кправления - Программы и компоненты.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\virial tefrum\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\virial tefrum\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 DeleteSchedulerTask('iTop Screen Recorder SkipUAC (Virial Tefrum)');
 DeleteSchedulerTask('iTop Screen Recorder Startup');
 DeleteSchedulerTask('iTop Screen Recorder Update');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1729930982797');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1729930994023');
 DeleteSchedulerTask('EdgeUpdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Jortin]

Прикрепляю файлы автологгера

CollectionLog-2024.11.07-17.25.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Jortin]

Прикрепляю архив ниже

FRST.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S2 eduWGManager$eduVPN; "C:\Program Files\eduVPN\WireGuard\eduWGSvcHost.exe" eduVPN Manager [X]
S2 OpenVPNServiceInteractive$eduVPN; "C:\Program Files\eduVPN\OpenVPN\openvpnserv.exe" -instance interactive $eduVPN [X]
2024-10-26 11:23 - 2024-11-07 17:13 - 000000000 ____D C:\Users\Virial Tefrum\AppData\Roaming\uTorrentPro
2024-10-26 11:23 - 2024-10-26 11:23 - 000000264 _____ C:\Users\Virial Tefrum\uTorrentPro.dat
2024-10-26 11:22 - 2024-10-26 11:22 - 000002184 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\uTorrent.lnk
2024-10-26 11:22 - 2024-10-26 11:22 - 000000000 ____D C:\Users\Virial Tefrum\AppData\Local\utorrentpro-updater
2024-10-26 11:07 - 2024-11-07 17:07 - 000000000 ____D C:\Program Files\Client Helper
2024-10-26 11:07 - 2024-11-07 17:06 - 000019003 _____ C:\Users\Virial Tefrum\ex-list2.json
2024-10-26 11:07 - 2024-10-27 00:33 - 000000000 ____D C:\Users\Virial Tefrum\AppData\Local\clienthelper-updater
2024-10-26 11:07 - 2024-10-26 11:15 - 000000000 ____D C:\Users\Virial Tefrum\AppData\Roaming\ClientHelper
2024-10-06 07:11 - 2024-10-06 07:21 - 000000000 __SHD C:\ProgramData\Setup
ContextMenuHandlers1_S-1-5-21-456851353-2300016829-2681371084-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Virial Tefrum\AppData\Local\Kingsoft\WPS Office\12.2.0.18283\office6\kwpsmenushellext64.dll -> Нет файла
ContextMenuHandlers4_S-1-5-21-456851353-2300016829-2681371084-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Virial Tefrum\AppData\Local\Kingsoft\WPS Office\12.2.0.18283\office6\kwpsmenushellext64.dll -> Нет файла
C:\Users\Virial Tefrum\Desktop\Выбор языка Mad Max Road Warrior.lnk
C:\Users\Virial Tefrum\Desktop\Хуйня вани\Кванториум\Куликовка 2023 смена вторая\финальный видос\заготовка.prproj — ярлык.lnk
C:\Users\Virial Tefrum\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Браузер Opera.lnk
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-456851353-2300016829-2681371084-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-456851353-2300016829-2681371084-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{FA84C398-81EC-41C4-AC50-44CDE0569089}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{68F30A98-14EC-4AC9-8A9A-BB5A913E3EF8}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{86E34A13-CEE9-4F40-95F1-8445DF3D46F0}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [{3B3706F6-4A0B-4636-ABC7-74ADF08B3876}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [{DB33C371-239F-463F-AF25-57158565E4D4}] => (Allow) C:\Users\Virial Tefrum\AppData\Local\Programs\Opera\opera.exe => Нет файла
FirewallRules: [{FB6BD2D6-05E9-40CF-8984-08A334C2CFC0}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{80A9D6F4-44F5-432D-BDB7-6285CF5A7C03}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{AF575B49-D1FE-40D0-9999-595BDBD2750F}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [{850A265D-4AAA-4EE8-9615-EF09D05628B8}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [TCP Query User{C62F4CFC-F05C-4197-B456-1960173F1229}D:\d4r_enru\reflectionnetworklauncher\reflectionnetworklauncher.exe] => (Allow) D:\d4r_enru\reflectionnetworklauncher\reflectionnetworklauncher.exe => Нет файла
FirewallRules: [UDP Query User{21A99CCC-935A-4430-B1FF-4E35C4ACFFBE}D:\d4r_enru\reflectionnetworklauncher\reflectionnetworklauncher.exe] => (Allow) D:\d4r_enru\reflectionnetworklauncher\reflectionnetworklauncher.exe => Нет файла
FirewallRules: [{D4AADECD-9EDE-4D1C-A6A2-6ED2A4675FD9}] => (Allow) E:\SteamLibrary\steamapps\common\PropHunter\PropHunter.exe => Нет файла
FirewallRules: [{AD7B1BD9-9553-4D77-9E08-90C50A235733}] => (Allow) E:\SteamLibrary\steamapps\common\PropHunter\PropHunter.exe => Нет файла
FirewallRules: [TCP Query User{9CC09583-B730-4AEF-AF1C-D7D082998B4A}E:\anno 1800 by xatab\anno 1800\bin\win64\anno1800.exe] => (Allow) E:\anno 1800 by xatab\anno 1800\bin\win64\anno1800.exe => Нет файла
FirewallRules: [UDP Query User{83597D4D-B4BE-479A-8F9B-BAA99D5720ED}E:\anno 1800 by xatab\anno 1800\bin\win64\anno1800.exe] => (Allow) E:\anno 1800 by xatab\anno 1800\bin\win64\anno1800.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Jortin]

Прикрепляю файл ниже

Fixlog.txt

[thyrex]

Проблема решена?

[Jortin]

Да, спасибо вам большое за помощь!

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Jortin]

Прикрепляю ниже

 

SecurityCheck.txt

[thyrex]

 

Цитата

uTorrent 8.2.9 v.8.2.9 Внимание! Подозрение на Adware!

я ведь в своем первом сообщении просил его удалить. Вы это не сделали почему-то.

 

По возможности исправьте:

 

Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.22286 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Discord v.1.0.9033 Внимание! Скачать обновления
Audacity 3.6.4 v.3.6.4 Внимание! Скачать обновления
Spotify v.1.2.48.405.gf2c48e6f Внимание! Скачать обновления
Microsoft Edge v.130.0.2849.68 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
 

На этом закончим.

[Jortin]

Ещё раз спасибо!

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".