После проверки и лечения KVRT и KTS heur:trojan.multi.genbadur восстанавливается.

[Fast_diesel]

Касперский тотал секьюрити вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. KTS его тоже находит, лечит, но после перезагрузки он опять тут. Windows 11, с последними обновлениями.

Данная проблема возможно появилась после скачивания и установки игр с Torrent с сайта https://stoigr.org/dlya-geimpada/10267-hogwarts-legacy.html

CollectionLog-2024.11.08-21.18.zip

[thyrex]

Здравствуйте.

 

Цитата

 

Client Helper 6.1.6

uTorrent 8.2.9

 

удалите через Панель управления - Программы и компоненты

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe','');
 TerminateProcessByName('c:\users\вадим\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\вадим\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe','64');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1730040310230');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1730040312831');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Fast_diesel]

Прикрепляю новые логи после выполнения всех пунктов выше

CollectionLog-2024.11.09-13.34.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Fast_diesel]

Архив после сканирования

FRST.7z

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [0f815619-dc48-4125-a0ff-32070a91bdf9] => "C:\Users\7C77~1\AppData\Local\Temp\{7afeaee3-b351-4248-a209-d6f6bfdcc4e3}\0f815619-dc48-4125-a0ff-32070a91bdf9.cmd" (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-2847311200-3590542077-942658168-1001\...\Run: [YandexDisk2] => C:\Users\Вадим\AppData\Roaming\Yandex\YandexDisk2\3.2.25.4801\YandexDisk2.exe -autostart (Нет файла)
Task: {D7EB6077-8D52-4A49-8088-17DAE3A29746} - System32\Tasks\EdgeUpdate => C:\Windows\system32\cmd.exe [323584 2024-10-27] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
Task: {02E75C1D-9332-4817-9EFA-0103CEE2BF25} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_LogonUpdateResults => %systemroot%\system32\MusNotification.exe  LogonUpdateResults (Нет файла)
Task: {B12957C8-ECA7-4DD6-834D-6BE6C1223F63} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC ReadyToReboot (Нет файла)
Task: {CD91E6B2-A27B-4D32-8F0A-4C50C74AA9A8} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery ReadyToReboot (Нет файла)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
Task: {C6AB035E-FDD3-420D-BD5A-29AAB13F9B6F} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2847311200-3590542077-942658168-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла)
Task: {8B2A0916-ABA1-4A05-8FF3-AC0AA70B58B3} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
S3 NEProtect; \??\C:\Program Files (x86)\bloodstrike\Engine\Binaries\Win64\NEProtect.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2024-10-27 18:46 - 2024-10-27 18:46 - 000000264 _____ C:\Users\Вадим\uTorrentPro.dat
2024-10-27 18:45 - 2024-11-09 13:18 - 000000000 ____D C:\Users\Вадим\AppData\Roaming\uTorrentPro
2024-10-27 18:44 - 2024-10-27 18:44 - 000000000 ____D C:\Users\Вадим\AppData\Local\utorrentpro-updater
2024-10-27 18:38 - 2024-10-27 18:38 - 000003634 _____ C:\WINDOWS\system32\Tasks\EdgeUpdate
2024-10-27 16:47 - 2024-11-09 11:29 - 000006959 _____ C:\Users\Вадим\ex-list2.json
2024-10-27 16:46 - 2024-11-09 12:31 - 000000000 ____D C:\Program Files\Client Helper
2024-10-27 16:46 - 2024-10-27 23:00 - 000000000 ____D C:\Users\Вадим\AppData\Local\clienthelper-updater
2024-10-27 16:46 - 2024-10-27 18:38 - 000000000 ____D C:\Users\Вадим\AppData\Roaming\ClientHelper
2024-10-27 16:44 - 2024-10-27 16:45 - 000000000 ____D C:\Users\Вадим\AppData\Roaming\com.gtoppocket.launcher
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
ContextMenuHandlers1_S-1-5-21-2847311200-3590542077-942658168-1001: [HaukeGtze.7-ZipFileManagerUnofficial_6bk20wvc8rfx2] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Нет файла
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security.lnk:A33CF8211A [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5690]
AlternateDataStreams: C:\Users\Вадим\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Вадим\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Вадим\AppData\Local\Temp:$DATA [16]
FirewallRules: [{EC1DE192-FF04-4E1B-9ACD-9D9BF138C506}] => (Allow) C:\Users\Вадим\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{BA655253-2165-4FEB-ABA4-00CE7E661664}] => (Allow) C:\Users\Вадим\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{FBA4C283-6437-414B-ACE5-E31FE601A2E0}] => (Allow) C:\Users\Вадим\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{1D294B2E-4BC6-4AF8-82B8-5EE815ACAB0E}] => (Allow) C:\Program Files\EA Games\Apex\EasyAntiCheat_launcher.exe => Нет файла
FirewallRules: [{F1518E36-A93F-4E78-902D-75CB64A63506}] => (Allow) C:\Program Files\EA Games\Apex\EasyAntiCheat_launcher.exe => Нет файла
FirewallRules: [{5F3EAADA-5805-4A36-AB3F-60F0FC0DBE51}] => (Allow) C:\Program Files (x86)\Nox\bin\Nox.exe => Нет файла
FirewallRules: [{80230743-367E-43E3-B9A1-235529D9F22A}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Fast_diesel]

Fixlog.txt

[thyrex]

Проблема решена?

[Fast_diesel]

Пока антивирус не определяет вредоносных программ. Сейчас запущу полную проверку дополнительно и сообщу результат.

 

Пока антивирус не определяет вредоносных программ. Сейчас запущу полную проверку дополнительно и сообщу результат.

 

Я как-то могу отправить вам отчет о результатах проверки?

 

[thyrex]

Первые два - это в карантине Farbar. Его можно удалить.

 

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите результат.