genbadur [РЕШЕНО] HEUR: Trojan. Multi.GenBadur.genw после лечения с перезагрузкой восстанавливается

[4uvak]

Добрый день. вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память. Kaspersky TS лечение с перезагрузкой - не помогает. Прилагаю:

 

1. логи FRST

2. образ автозапуска системы в uVS

 

Благодарю за помощь.

HOME-PC_2024-11-10_03-57-00_v4.99.2v x64.7z Отчеты.rar

[safety]

Выполните очистку системы в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WSIC.VBS
;------------------------autoscript---------------------------

delall %SystemDrive%\TEMP\3A321161-226E-4CE7-B7ED-7076C25CD14D.TMP.NODE
delall %SystemDrive%\TEMP\42739568-3067-4381-9677-FD753A6F91FA.TMP.NODE
delall %SystemDrive%\TEMP\96A638AE-3072-4D20-B08D-33CDBFA57FCC.TMP.NODE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES\UTORRENTPRO\UTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delref HTTP://RUSEARCH.CO
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WSIC.VBS
apply

deltmp
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref E:\XBOXGAMES\CALL OF DUTY\CONTENT\RANDGRID.SYS
delref %Sys32%\DRIVERS\EAANTICHEAT.SYS
delref %SystemDrive%\KVRT2020_DATA\TEMP\3EAA902C0B5097D0258FD5FE1D8A2AA9\KLUPD_4F4FC254A_ARKMON.SYS
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FORMAUTOFILL@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\PICTUREINPICTURE@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT-REPORTER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\TEMP\SECURITYCHECK\SECURITYCHECK.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SPEEDFAN\SPEEDFAN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SPEEDFAN\UNINSTALL.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Архив ZOO_дата_Время.7z и папки, откуда запускали uVS загрузите на облачный диск, и дайте ссылку на скачивание архива в ЛС (личные сообщения)

+

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

+

добавьте основной лог:

«Порядок оформления запроса о помощи».

Изменено 10 ноября, 2024 пользователем safety

[4uvak]

9 часов назад, safety сказал:

Выполните очистку системы в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WSIC.VBS
;------------------------autoscript---------------------------

delall %SystemDrive%\TEMP\3A321161-226E-4CE7-B7ED-7076C25CD14D.TMP.NODE
delall %SystemDrive%\TEMP\42739568-3067-4381-9677-FD753A6F91FA.TMP.NODE
delall %SystemDrive%\TEMP\96A638AE-3072-4D20-B08D-33CDBFA57FCC.TMP.NODE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES\UTORRENTPRO\UTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delref HTTP://RUSEARCH.CO
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WSIC.VBS
apply

deltmp
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref E:\XBOXGAMES\CALL OF DUTY\CONTENT\RANDGRID.SYS
delref %Sys32%\DRIVERS\EAANTICHEAT.SYS
delref %SystemDrive%\KVRT2020_DATA\TEMP\3EAA902C0B5097D0258FD5FE1D8A2AA9\KLUPD_4F4FC254A_ARKMON.SYS
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FORMAUTOFILL@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\PICTUREINPICTURE@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT-REPORTER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\TEMP\SECURITYCHECK\SECURITYCHECK.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SPEEDFAN\SPEEDFAN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SPEEDFAN\UNINSTALL.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Архив ZOO_дата_Время.7z и папки, откуда запускали uVS загрузите на облачный диск, и дайте ссылку на скачивание архива в ЛС (личные сообщения)

+

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

+

добавьте основной лог:

«Порядок оформления запроса о помощи».

Помогли рекомендации из прошлых постов про этот же штамп вируса. На данный момент вирус не находит Касперский TS . Нужно ли проделывать все вышеуказанные рекомендации?

[safety]

Да, обязательно проделайте все, что описано в посте выше, так как в системе остались следы еще и от прежнего майнера. + не надо избыточно цитировать, все и так понятно.

Изменено 10 ноября, 2024 пользователем safety

[4uvak]

При попытке выполнить скрипт в uVS, программа просто перестает работать (закрывается сама). Перезагрузка ПК не происходит. Архив вида "Архив ZOO_дата_Время.7z и папки," не создается. Можете что то посоветовать?

[safety]

лог "дата_времяlog.txt" создается в программе? Пробуйте добавить uVS в исключение Windefender и еще раз запустить выполнение скрипта.

Изменено 10 ноября, 2024 пользователем safety

[safety]

Если не получится таки выполнить скрипт в uVS по какой=то причине, тогда пропустите этот пункт, и далее действуйте по порядку.

[4uvak]

Скрипт в uVS по прежнему приводит к закрытию программы. Прилагаю ранее созданный Архив вида "Архив ZOO_дата_Время.7z и папки,"

HOME-PC_2024-11-10_15-23-07_v4.99.2v x64.7z 2024-11-10_03-27-56_log.txt AV_block_remove_2024.11.10-15.28.log CollectionLog-2024.11.10-15.35.zip

[safety]

52 минуты назад, 4uvak сказал:

Прилагаю ранее созданный Архив вида "Архив ZOO_дата_Время.7z и папки,"

т.е. вы выполнили скрипт из другой темы. Частично, может быть он и помог, но часть файлов из вашей темы имеет совсем другие имена. (или пути)

Изменено 11 ноября, 2024 пользователем safety

[safety]

По новому образу автозапуска:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAM FILES\UTORRENTPRO\UTORRENTPRO.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WSIC.VBS
delall %Sys32%\TASKS\UTORRENTPROUPDATERV5_T1725455357274
delall %Sys32%\TASKS\UTORRENTPROUPDATERV6_T1725455359308
apply

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено 11 ноября, 2024 пользователем safety

[4uvak]

Скрипт из другой темы выполняется. Вышеуказанный скрипт приводит к прекращению работы uVS без каких либо ошибок. Угрозы антивирус больше не находит

[safety]

ок, выполните в  uVS новый скрипт, который я добавил чуть выше.

[4uvak]

Скрипт в uVS выполнен. Прекращения работы программы не было.

2024-11-11_04-33-50_log.txt

[safety]

Хорошо,

далее, сделайте, пожалуйста, новые логи FRST для контроля очистки системы.

[4uvak]

Отчеты2.rar