Перейти к содержанию
Правила раздела

[РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw не лечится

Jortin

Автор Jortin,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

Jortin

Jortin 0

Опубликовано
Опубликовано

Доброго дня! Неизвестно когда успел подцепить вирус HEUR:Trojan.Multi.GenBadur.genw. 

По поведению вируса все то же самое что и написано в его описании, сначала появляется окно с предложением лечения вируса с перезагрузкой, но после нее, он появляется  вновь. Файл автологгера прикрепляю.

CollectionLog-2024.11.07-09.15.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 422

Опубликовано
Опубликовано

Здравствуйте.

 

Цитата

Client Helper 6.1.6

uTorrent 8.2.9

удалите через Панель кправления - Программы и компоненты.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\virial tefrum\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\virial tefrum\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 DeleteSchedulerTask('iTop Screen Recorder SkipUAC (Virial Tefrum)');
 DeleteSchedulerTask('iTop Screen Recorder Startup');
 DeleteSchedulerTask('iTop Screen Recorder Update');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1729930982797');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1729930994023');
 DeleteSchedulerTask('EdgeUpdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 422

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 422

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S2 eduWGManager$eduVPN; "C:\Program Files\eduVPN\WireGuard\eduWGSvcHost.exe" eduVPN Manager [X]
S2 OpenVPNServiceInteractive$eduVPN; "C:\Program Files\eduVPN\OpenVPN\openvpnserv.exe" -instance interactive $eduVPN [X]
2024-10-26 11:23 - 2024-11-07 17:13 - 000000000 ____D C:\Users\Virial Tefrum\AppData\Roaming\uTorrentPro
2024-10-26 11:23 - 2024-10-26 11:23 - 000000264 _____ C:\Users\Virial Tefrum\uTorrentPro.dat
2024-10-26 11:22 - 2024-10-26 11:22 - 000002184 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\uTorrent.lnk
2024-10-26 11:22 - 2024-10-26 11:22 - 000000000 ____D C:\Users\Virial Tefrum\AppData\Local\utorrentpro-updater
2024-10-26 11:07 - 2024-11-07 17:07 - 000000000 ____D C:\Program Files\Client Helper
2024-10-26 11:07 - 2024-11-07 17:06 - 000019003 _____ C:\Users\Virial Tefrum\ex-list2.json
2024-10-26 11:07 - 2024-10-27 00:33 - 000000000 ____D C:\Users\Virial Tefrum\AppData\Local\clienthelper-updater
2024-10-26 11:07 - 2024-10-26 11:15 - 000000000 ____D C:\Users\Virial Tefrum\AppData\Roaming\ClientHelper
2024-10-06 07:11 - 2024-10-06 07:21 - 000000000 __SHD C:\ProgramData\Setup
ContextMenuHandlers1_S-1-5-21-456851353-2300016829-2681371084-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Virial Tefrum\AppData\Local\Kingsoft\WPS Office\12.2.0.18283\office6\kwpsmenushellext64.dll -> Нет файла
ContextMenuHandlers4_S-1-5-21-456851353-2300016829-2681371084-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Virial Tefrum\AppData\Local\Kingsoft\WPS Office\12.2.0.18283\office6\kwpsmenushellext64.dll -> Нет файла
C:\Users\Virial Tefrum\Desktop\Выбор языка Mad Max Road Warrior.lnk
C:\Users\Virial Tefrum\Desktop\Хуйня вани\Кванториум\Куликовка 2023 смена вторая\финальный видос\заготовка.prproj — ярлык.lnk
C:\Users\Virial Tefrum\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Браузер Opera.lnk
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-456851353-2300016829-2681371084-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-456851353-2300016829-2681371084-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{FA84C398-81EC-41C4-AC50-44CDE0569089}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{68F30A98-14EC-4AC9-8A9A-BB5A913E3EF8}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{86E34A13-CEE9-4F40-95F1-8445DF3D46F0}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [{3B3706F6-4A0B-4636-ABC7-74ADF08B3876}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms - Gates of Hell\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [{DB33C371-239F-463F-AF25-57158565E4D4}] => (Allow) C:\Users\Virial Tefrum\AppData\Local\Programs\Opera\opera.exe => Нет файла
FirewallRules: [{FB6BD2D6-05E9-40CF-8984-08A334C2CFC0}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{80A9D6F4-44F5-432D-BDB7-6285CF5A7C03}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{AF575B49-D1FE-40D0-9999-595BDBD2750F}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [{850A265D-4AAA-4EE8-9615-EF09D05628B8}] => (Allow) E:\SteamLibrary\steamapps\common\Call to Arms\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [TCP Query User{C62F4CFC-F05C-4197-B456-1960173F1229}D:\d4r_enru\reflectionnetworklauncher\reflectionnetworklauncher.exe] => (Allow) D:\d4r_enru\reflectionnetworklauncher\reflectionnetworklauncher.exe => Нет файла
FirewallRules: [UDP Query User{21A99CCC-935A-4430-B1FF-4E35C4ACFFBE}D:\d4r_enru\reflectionnetworklauncher\reflectionnetworklauncher.exe] => (Allow) D:\d4r_enru\reflectionnetworklauncher\reflectionnetworklauncher.exe => Нет файла
FirewallRules: [{D4AADECD-9EDE-4D1C-A6A2-6ED2A4675FD9}] => (Allow) E:\SteamLibrary\steamapps\common\PropHunter\PropHunter.exe => Нет файла
FirewallRules: [{AD7B1BD9-9553-4D77-9E08-90C50A235733}] => (Allow) E:\SteamLibrary\steamapps\common\PropHunter\PropHunter.exe => Нет файла
FirewallRules: [TCP Query User{9CC09583-B730-4AEF-AF1C-D7D082998B4A}E:\anno 1800 by xatab\anno 1800\bin\win64\anno1800.exe] => (Allow) E:\anno 1800 by xatab\anno 1800\bin\win64\anno1800.exe => Нет файла
FirewallRules: [UDP Query User{83597D4D-B4BE-479A-8F9B-BAA99D5720ED}E:\anno 1800 by xatab\anno 1800\bin\win64\anno1800.exe] => (Allow) E:\anno 1800 by xatab\anno 1800\bin\win64\anno1800.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 422

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 422

Опубликовано
Опубликовано

 

Цитата

uTorrent 8.2.9 v.8.2.9 Внимание! Подозрение на Adware!

я ведь в своем первом сообщении просил его удалить. Вы это не сделали почему-то.

 

По возможности исправьте:

 

Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.22286 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Discord v.1.0.9033 Внимание! Скачать обновления
Audacity 3.6.4 v.3.6.4 Внимание! Скачать обновления
Spotify v.1.2.48.405.gf2c48e6f Внимание! Скачать обновления
Microsoft Edge v.130.0.2849.68 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
 

На этом закончим.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 422

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Viani
      Поймал скрытый майнер, обычные утилиты не помогают
      От Viani
      Добрый вечер. Майнер грузит систему под 90-95% (бездействие системы в диспетчере задач) ЦП при любом открытом окне, ноутбук сильно греется, хотя при открытом браузере даже не включал винты. Вирус был подхвачен когда на ноутбук скачали игру "растения против зомби 2", но проявил себя спустя месяц. (Больше ничего не скачивалось). В корневой папке C после каждого запуска системы появляется свежий файл "HaxLogs.log", внутри написано это: "慨彸敧彴敭潭祲瑟牨獥潨摬›砰〸〰〰〰
      ⴭⴭ䠠塁⁍敲敬獡⁥⸱⸰‶ⴭⴭⴭⴭ
      桔獩氠杯挠汯敬瑣⁳畲湮楧杮猠慴畴⁳景䠠塁⁍牤癩牥ਮ".
      Юзал DrWeb, утулиту касперского, всё по нулям. Помогите, пожалуйста. Логи по вашим правилам прилагаю:
      CollectionLog-2024.11.10-21.44.zip report1.log report2.log
    • ptenchik42
      Heur trojan mutli genbadur genw не удаляется касперским, появляется снова после перезагрузки
      От ptenchik42
      При проверке Касперским находит вирус, удаляет и просит перезагрузить пк, после перезагрузки снова появляется это сообщение, торрент удалил уже, из-за чего может быть и как исправить?
      CollectionLog-2024.11.10-23.01.zip
    • Павел11
      heur.trojan.multi.genbadur.genw
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • Folclor
      Помощь в удалении вирусов
      От Folclor
      Добрый день, обнаружил у себя на пк вирус net:malware.url который сильно нагружает процессор, выполнил сканирование и попробовал его удалить, что не принесло результатов, прошу помощи у знатоков в решении данного вопроса. 

    • KakoeImyaSdelat
      [РЕШЕНО] Нужна помощь в удалении вируса (PuzzleMedia)
      От KakoeImyaSdelat
      Добрый день, программа "RogueKiller" выявляет майнер "PuzzleMedia" и у меня самостоятельно удалить не получается. Ощущение, что вирусы блокируют некоторые сайты, помогите, пожалуйста
       
×
×
  • Создать...