genbadur [РЕШЕНО] HEUR: Trojan. Multi.GenBadur.genw после лечения с перезагрузкой восстанавливается

[safety]

Скопируйте по данной ссылке reg файл и выполните твик от имени Администратора, так как отсутствует ссылка на загрузку службы.

Цитата

U4 WaaSMedicSvc; отсутствует ImagePath

https://download.bleepingcomputer.com/win-services/windows-11-23H2/WaaSMedicSvc.reg

 

перегрузите после этого систему.

 

далее,

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

[4uvak]

SecurityCheck.txt

[safety]

Хорошо, еще одну очистку выполните в FRST с перезагрузкой системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

 

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Project.lnk:3B7F7AA2C3 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk:104946E0EA [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visio.lnk:8113B7619D [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Калькулятор.lnk:CFDD76F80F [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ножницы.lnk:596D91796F [3442]
AlternateDataStreams: C:\Users\NIK\Desktop\Paint.lnk:21A6397BCC [3442]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5022]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

----------------------

+

Обновите по возможности данное ПО:

 

AMD Software v.24.9.1 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20791 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Oracle VM VirtualBox 7.0.22 v.7.0.22 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.93.1 Внимание! Скачать обновления

Geeks3D FurMark 1.34.0.0 v.1.34.0.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления

------------------

uTorrent 8.2.5 v.8.2.5 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

gt-launcher 5.3.4 v.5.3.4 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

Driver Booster 11 v.11.5.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

Изменено 11 ноября, 2024 пользователем safety

[4uvak]

Fixlog.txt

[safety]

Отлично,

 

по файлам, которые попали в карантин:

Цитата

 

По результатам проверки файлов

https://www.virustotal.com/gui/file/7feb171f32571f1a1bc211399d1ccec1f8ab4ef5ced819864c9c7cda811149a8?nocache=1

Первая штука тоже интересная судя по детекту ДрВеба

DrWeb VBS.KeySender.6

https://www.virustotal.com/gui/file/f2ff3b5fc3bb9f4056d5476ebc3151f9bad31120ebc7d03e770b0e757eee9eaf

 

 

 

по возможности обновите данное ПО (в предыдущем сообщении).

 

По удалению нежелательного ПО, скорее всего остались только "вершки", т.е. записи о установке программ в списке установленных программ.

Изменено 11 ноября, 2024 пользователем safety

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".