Перейти к содержанию

[РЕШЕНО] HEUR: Trojan. Multi.GenBadur.genw после лечения с перезагрузкой восстанавливается


Рекомендуемые сообщения

Добрый день. вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память. Kaspersky TS лечение с перезагрузкой - не помогает. Прилагаю:

 

1. логи FRST

2. образ автозапуска системы в uVS

 

Благодарю за помощь.

HOME-PC_2024-11-10_03-57-00_v4.99.2v x64.7z Отчеты.rar

Ссылка на комментарий
Поделиться на другие сайты

Выполните очистку системы в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WSIC.VBS
;------------------------autoscript---------------------------

delall %SystemDrive%\TEMP\3A321161-226E-4CE7-B7ED-7076C25CD14D.TMP.NODE
delall %SystemDrive%\TEMP\42739568-3067-4381-9677-FD753A6F91FA.TMP.NODE
delall %SystemDrive%\TEMP\96A638AE-3072-4D20-B08D-33CDBFA57FCC.TMP.NODE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES\UTORRENTPRO\UTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delref HTTP://RUSEARCH.CO
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WSIC.VBS
apply

deltmp
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref E:\XBOXGAMES\CALL OF DUTY\CONTENT\RANDGRID.SYS
delref %Sys32%\DRIVERS\EAANTICHEAT.SYS
delref %SystemDrive%\KVRT2020_DATA\TEMP\3EAA902C0B5097D0258FD5FE1D8A2AA9\KLUPD_4F4FC254A_ARKMON.SYS
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FORMAUTOFILL@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\PICTUREINPICTURE@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT-REPORTER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\TEMP\SECURITYCHECK\SECURITYCHECK.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SPEEDFAN\SPEEDFAN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SPEEDFAN\UNINSTALL.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Архив ZOO_дата_Время.7z и папки, откуда запускали uVS загрузите на облачный диск, и дайте ссылку на скачивание архива в ЛС (личные сообщения)

+

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

+

добавьте основной лог:

«Порядок оформления запроса о помощи».

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

9 часов назад, safety сказал:

Выполните очистку системы в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.


;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WSIC.VBS
;------------------------autoscript---------------------------

delall %SystemDrive%\TEMP\3A321161-226E-4CE7-B7ED-7076C25CD14D.TMP.NODE
delall %SystemDrive%\TEMP\42739568-3067-4381-9677-FD753A6F91FA.TMP.NODE
delall %SystemDrive%\TEMP\96A638AE-3072-4D20-B08D-33CDBFA57FCC.TMP.NODE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES\UTORRENTPRO\UTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delref HTTP://RUSEARCH.CO
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WSIC.VBS
apply

deltmp
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref E:\XBOXGAMES\CALL OF DUTY\CONTENT\RANDGRID.SYS
delref %Sys32%\DRIVERS\EAANTICHEAT.SYS
delref %SystemDrive%\KVRT2020_DATA\TEMP\3EAA902C0B5097D0258FD5FE1D8A2AA9\KLUPD_4F4FC254A_ARKMON.SYS
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FORMAUTOFILL@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\PICTUREINPICTURE@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT-REPORTER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\TEMP\SECURITYCHECK\SECURITYCHECK.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SPEEDFAN\SPEEDFAN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SPEEDFAN\UNINSTALL.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Архив ZOO_дата_Время.7z и папки, откуда запускали uVS загрузите на облачный диск, и дайте ссылку на скачивание архива в ЛС (личные сообщения)

+

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

+

добавьте основной лог:

«Порядок оформления запроса о помощи».

Помогли рекомендации из прошлых постов про этот же штамп вируса. На данный момент вирус не находит Касперский TS . Нужно ли проделывать все вышеуказанные рекомендации?

Ссылка на комментарий
Поделиться на другие сайты

Да, обязательно проделайте все, что описано в посте выше, так как в системе остались следы еще и от прежнего майнера. + не надо избыточно цитировать, все и так понятно.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

При попытке выполнить скрипт в uVS, программа просто перестает работать (закрывается сама). Перезагрузка ПК не происходит. Архив вида "Архив ZOO_дата_Время.7z и папки," не создается. Можете что то посоветовать?

Ссылка на комментарий
Поделиться на другие сайты

лог "дата_времяlog.txt" создается в программе? Пробуйте добавить uVS в исключение Windefender и еще раз запустить выполнение скрипта.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Если не получится таки выполнить скрипт в uVS по какой=то причине, тогда пропустите этот пункт, и далее действуйте по порядку.

Ссылка на комментарий
Поделиться на другие сайты

Скрипт в uVS по прежнему приводит к закрытию программы. Прилагаю ранее созданный Архив вида "Архив ZOO_дата_Время.7z и папки,"

HOME-PC_2024-11-10_15-23-07_v4.99.2v x64.7z 2024-11-10_03-27-56_log.txt AV_block_remove_2024.11.10-15.28.log CollectionLog-2024.11.10-15.35.zip

Ссылка на комментарий
Поделиться на другие сайты

52 минуты назад, 4uvak сказал:

Прилагаю ранее созданный Архив вида "Архив ZOO_дата_Время.7z и папки,"

т.е. вы выполнили скрипт из другой темы. Частично, может быть он и помог, но часть файлов из вашей темы имеет совсем другие имена. (или пути)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По новому образу автозапуска:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAM FILES\UTORRENTPRO\UTORRENTPRO.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WSIC.VBS
delall %Sys32%\TASKS\UTORRENTPROUPDATERV5_T1725455357274
delall %Sys32%\TASKS\UTORRENTPROUPDATERV6_T1725455359308
apply

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Скрипт из другой темы выполняется. Вышеуказанный скрипт приводит к прекращению работы uVS без каких либо ошибок. Угрозы антивирус больше не находит

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Окулевич
      От Окулевич
      Добрый день. После лечения антивирусом касперским и после перезапуска компьютера данное сообщение всплывает еще раз и просит вновь перезагрузить компьютер. Я почитал форму и нашел утилиту с помощью которой отсканировал систему и получил такие логи (прикрепляю)

      отчеты.rar
    • Raman
      От Raman
      Доброго дня. Ровненько всё точно так же как и описано выше про поведение HEUR:Trojan.Multi.GenBadur.genw
      Нужна помощь, так как не могу понять даже откуда сие чудо явилось...
      DESKTOP-AJ5G2Q2_2024-10-13_23-14-01_v4.99.2v x64.7z
    • Ra11lex
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается.
      CollectionLog-2024.10.11-18.04.zip
    • Ra11lex
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 
      Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 
       
      ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z
    • snyperlux
      От snyperlux
      Троян обнаружен антивирусом, удаляется, но после перезагрузки возвращается.

      CollectionLog-2024.10.25-00.43.zip report1.log report2.log
×
×
  • Создать...