[РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw Не удаляется касперским, удалил уже все приложения которые могли его принести, в том числе торрент, что делать?

[Hard07]

Не удаляется касперским, удалил уже все приложения которые могли его принести, в том числе торрент, что делать?

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

[Hard07]

11 минут назад, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

 

CollectionLog-2024.11.18-15.38.zip

[Sandor]

Не цитируйте, пожалуйста, полностью предыдущий ответ. Пишите в нижнем поле быстрого ответа.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Client Helper 6.1.6

Driver Booster 11

McAfee Security Scan Plus

uFiler

Кнопки сервисов Яндекса на панели задач

 

Что не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller

 

Далее:

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\utorrent\pro\uTorrentPro.exe', '');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1730635112542');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1730635114654');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
 DeleteFile('C:\Users\1\AppData\Roaming\utorrent\pro\uTorrentPro.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

[Hard07]

CollectionLog-2024.11.18-16.02.zip

[Sandor]

Хорошо. Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Hard07]

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
   

  Start:: 
  CloseProcesses: 
  SystemRestore: On 
  CreateRestorePoint: 
  Task: {FCE8B886-069F-41AD-89D6-754DDA086109} - System32\Tasks\IObit B5Sale (One-time) => "C:\Program Files (x86)\IObit\Driver Booster\Pub\b5saleml.exe" -> C:\Program Files (x86)\IObit\Driver Booster\Pub\\/rpop 
  Task: {45498D96-6976-459F-8D97-7AB6B9AF482F} - System32\Tasks\IObit DB2024B5 (One-Time) => "C:\Program Files (x86)\IObit\Driver Booster\Pub\dbrpop.exe" -> C:\Program Files (x86)\IObit\Driver Booster\Pub\\/rpop 
  CHR HKU\S-1-5-21-3186795729-212360720-1357230142-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  2024-11-03 16:58 - 2024-11-18 15:07 - 000000000 ____D C:\Users\1\AppData\Roaming\uTorrentPro 
  2024-11-03 16:58 - 2024-11-03 16:58 - 000000264 _____ C:\Users\1\uTorrentPro.dat 
  2024-11-03 16:58 - 2024-11-03 16:58 - 000000000 ____D C:\Users\1\AppData\Local\utorrentpro-updater 
  2024-11-03 16:53 - 2024-11-18 15:50 - 000000000 ____D C:\Program Files\Client Helper 
  2024-11-03 16:53 - 2024-11-18 12:52 - 000015107 _____ C:\Users\1\ex-list2.json 
  2024-11-03 16:53 - 2024-11-03 22:34 - 000000000 ____D C:\Users\1\AppData\Local\clienthelper-updater 
  2024-11-03 16:53 - 2024-11-03 16:58 - 000000000 ____D C:\Users\1\AppData\Roaming\ClientHelper 
  2024-11-03 16:53 - 2024-11-03 16:53 - 000000000 ____D C:\Users\1\AppData\Roaming\com.gtoppocket.launcher 
  AlternateDataStreams: C:\Users\1\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] 
  AlternateDataStreams: C:\Users\1\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] 
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442] 
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [3442] 
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security.lnk:4B2FBCE6BB [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Password Manager.lnk:25FB69C60A [3442] 
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive для бизнеса.lnk:1438E2ED3D [3442] 
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [3442] 
  AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64] 
  FirewallRules: [{13FD16FE-9785-4598-89F4-5C03CE4E9126}] => (Allow) C:\Program => Нет файла 
  FirewallRules: [{5F27DBF5-82A1-458F-9D58-F1F853E80C38}] => (Allow) C:\Program => Нет файла 
  FirewallRules: [{D9F75BEE-9DA9-4260-8178-467F87BE02EE}] => (Allow) C:\Program => Нет файла 
  FirewallRules: [{E062DC00-E3A4-42CA-A07C-B7756D2918C2}] => (Allow) C:\Program => Нет файла 
  FirewallRules: [{24C74D7D-CA7E-4D2D-9A5C-3587A35765E7}] => (Allow) D:\Program => Нет файла 
  FirewallRules: [{81D38B2A-78CB-46FD-9824-F7DF2B8BFD63}] => (Allow) D:\Program => Нет файла 
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions 
  EmptyTemp: 
  Reboot: 
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).

• Запустите FRST (FRST64) от имени администратора.

• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Изменено 18 ноября, 2024 пользователем Sandor

[Hard07]

10 минут назад, Sandor сказал:

 

 

Fixlog.txt

[Sandor]

Ещё раз выполните этот же скрипт, пожалуйста. Из-за некоторых сбоев форума первоначальный скрипт неверно отображался. Пока я исправлял, вы успели его выполнить

Повторите то же самое.

[Hard07]

А его нужно вставлять куда то?

[Sandor]

Нет, он будет выполнен из буфера обмена.

[Hard07]

Fixlog.txt

[Sandor]

Хорошо.

Сделайте полную проверку KIS и сообщите результат.

[Hard07]

А если он проверил более 500тыс файлов и это только 17%, это норма?