Перейти к содержанию

После проверки и лечения KVRT и KTS heur:trojan.multi.genbadur восстанавливается.


Рекомендуемые сообщения

Касперский тотал секьюрити вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. KTS его тоже находит, лечит, но после перезагрузки он опять тут. Windows 11, с последними обновлениями.

Данная проблема возможно появилась после скачивания и установки игр с Torrent с сайта https://stoigr.org/dlya-geimpada/10267-hogwarts-legacy.html

CollectionLog-2024.11.08-21.18.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.

 

Цитата

 

Client Helper 6.1.6

uTorrent 8.2.9

 

удалите через Панель управления - Программы и компоненты

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe','');
 TerminateProcessByName('c:\users\вадим\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\вадим\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe','64');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1730040310230');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1730040312831');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [0f815619-dc48-4125-a0ff-32070a91bdf9] => "C:\Users\7C77~1\AppData\Local\Temp\{7afeaee3-b351-4248-a209-d6f6bfdcc4e3}\0f815619-dc48-4125-a0ff-32070a91bdf9.cmd" (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-2847311200-3590542077-942658168-1001\...\Run: [YandexDisk2] => C:\Users\Вадим\AppData\Roaming\Yandex\YandexDisk2\3.2.25.4801\YandexDisk2.exe -autostart (Нет файла)
Task: {D7EB6077-8D52-4A49-8088-17DAE3A29746} - System32\Tasks\EdgeUpdate => C:\Windows\system32\cmd.exe [323584 2024-10-27] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
Task: {02E75C1D-9332-4817-9EFA-0103CEE2BF25} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_LogonUpdateResults => %systemroot%\system32\MusNotification.exe  LogonUpdateResults (Нет файла)
Task: {B12957C8-ECA7-4DD6-834D-6BE6C1223F63} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC ReadyToReboot (Нет файла)
Task: {CD91E6B2-A27B-4D32-8F0A-4C50C74AA9A8} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery ReadyToReboot (Нет файла)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
Task: {C6AB035E-FDD3-420D-BD5A-29AAB13F9B6F} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2847311200-3590542077-942658168-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла)
Task: {8B2A0916-ABA1-4A05-8FF3-AC0AA70B58B3} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
S3 NEProtect; \??\C:\Program Files (x86)\bloodstrike\Engine\Binaries\Win64\NEProtect.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2024-10-27 18:46 - 2024-10-27 18:46 - 000000264 _____ C:\Users\Вадим\uTorrentPro.dat
2024-10-27 18:45 - 2024-11-09 13:18 - 000000000 ____D C:\Users\Вадим\AppData\Roaming\uTorrentPro
2024-10-27 18:44 - 2024-10-27 18:44 - 000000000 ____D C:\Users\Вадим\AppData\Local\utorrentpro-updater
2024-10-27 18:38 - 2024-10-27 18:38 - 000003634 _____ C:\WINDOWS\system32\Tasks\EdgeUpdate
2024-10-27 16:47 - 2024-11-09 11:29 - 000006959 _____ C:\Users\Вадим\ex-list2.json
2024-10-27 16:46 - 2024-11-09 12:31 - 000000000 ____D C:\Program Files\Client Helper
2024-10-27 16:46 - 2024-10-27 23:00 - 000000000 ____D C:\Users\Вадим\AppData\Local\clienthelper-updater
2024-10-27 16:46 - 2024-10-27 18:38 - 000000000 ____D C:\Users\Вадим\AppData\Roaming\ClientHelper
2024-10-27 16:44 - 2024-10-27 16:45 - 000000000 ____D C:\Users\Вадим\AppData\Roaming\com.gtoppocket.launcher
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
ContextMenuHandlers1_S-1-5-21-2847311200-3590542077-942658168-1001: [HaukeGtze.7-ZipFileManagerUnofficial_6bk20wvc8rfx2] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Нет файла
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security.lnk:A33CF8211A [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5690]
AlternateDataStreams: C:\Users\Вадим\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Вадим\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Вадим\AppData\Local\Temp:$DATA [16]
FirewallRules: [{EC1DE192-FF04-4E1B-9ACD-9D9BF138C506}] => (Allow) C:\Users\Вадим\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{BA655253-2165-4FEB-ABA4-00CE7E661664}] => (Allow) C:\Users\Вадим\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{FBA4C283-6437-414B-ACE5-E31FE601A2E0}] => (Allow) C:\Users\Вадим\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{1D294B2E-4BC6-4AF8-82B8-5EE815ACAB0E}] => (Allow) C:\Program Files\EA Games\Apex\EasyAntiCheat_launcher.exe => Нет файла
FirewallRules: [{F1518E36-A93F-4E78-902D-75CB64A63506}] => (Allow) C:\Program Files\EA Games\Apex\EasyAntiCheat_launcher.exe => Нет файла
FirewallRules: [{5F3EAADA-5805-4A36-AB3F-60F0FC0DBE51}] => (Allow) C:\Program Files (x86)\Nox\bin\Nox.exe => Нет файла
FirewallRules: [{80230743-367E-43E3-B9A1-235529D9F22A}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Пока антивирус не определяет вредоносных программ. Сейчас запущу полную проверку дополнительно и сообщу результат.

 

Пока антивирус не определяет вредоносных программ. Сейчас запущу полную проверку дополнительно и сообщу результат.

Снимок экрана 2024-11-09 213242.png

 

Я как-то могу отправить вам отчет о результатах проверки?

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

Первые два - это в карантине Farbar. Его можно удалить.

 

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите результат.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • flynk
      Автор flynk
      вчера обнаружил вирус на своем компьютере и при удалении он сразу же восстанавливается. сидит в C:\ProgramData\Google\Chrome (на момент написания файл в папке отсутствует, но папка Google при удалении восстанавливается). п ерепробовал кучу способов, удалить не получается. пробовал откатываться на точки восстановления, но все равно не помогало. ранее при запуске компьютера панель задач прогружалась минут 5, все крайне лагало. на данный момент проблемы вроде как пропали, но при первом запуске просто черный экран. сканировался через Malwarebytes, DrWeb Cureit, Hitman PRO. 
      CollectionLog-2024.02.06-21.02.zip
    • mrolya
      Автор mrolya
      Не удаляется троян HEUR:Trojan.Multi.Powedon.d, касперский находит его, делает лечение и ребутает комп, после ребута запускает сканирование и троян снова появляется, в общем все идет по кругу.
       

      CollectionLog-2025.04.21-11.37.zip
    • New User
      Автор New User
      Здравствуйте.
       
      Kaspersky Virus Removal Tool (буду называть сокращённо: KVRT) нашёл вирус и не может удалить его.
      Каждый раз когда KVRT пытается удалить вирус он не удаляется, либо он возвращается при удалении.
      Заранее благодарю за помощь.
      CollectionLog-2025.03.18-21.34.zip
       
    • vanurt
      Автор vanurt
      вирус сам себя восстанавливает,сразу же после удаления. находится по пути C:\ProgramData\kdaqmmepuqgl   помогите,как удалить его? переустановка или снос до заводских не вариант,файлов важных много...
      еще он восстанавливает себя через conhost и powershell,выяснил когда сидел в диспетчере задач и удалял его много раз.. 
    • Kultuch
      Автор Kultuch
      Здравствуйте! 
       
      После скачивания файла с неизвестного источника обнаружились два вируса. Лечение не помогает, Kaspersky Virus Removal Tool также не помог.

      CollectionLog-2025.03.18-15.27.zip
×
×
  • Создать...