[РЕШЕНО] Вирусы: HEUR:Trojan.Multi.GenBadur.genw и HEUR:Trojan.Script.Generic

[Mr. Denp]

Добрый день!

 

Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.

Процесс лечения заканчивается следующей ошибкой:

 

Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.

И так по кругу. 

Вирус находится в системной памяти.

 

Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.

 

Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?

Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.

 

Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.

 

Заранее благодарен!

 

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[Mr. Denp]

Добрый вечер!

 

Во вложении логи.

 

После проверки Virus Rуmoval Tool - вирус HEUR:Trojan.Multi.GenBadur.genw был найден и после попытки удаления ( после перезагрузки ) возникла такая-же ошибка, как прикреплял ранее на скриншоте.

 

После перезагрузки компьютера, программа автоматически запустилась и началась более долгая проверка ( больший объем данных ) - по итогу нашелся новый троян, который удалился без перезагрузки. И все проблем нет. Закрыл программу. Через некоторое время заново ее запустил - проверка - вирус HEUR:Trojan.Multi.GenBadur.genw снова на месте. 

 

Как выгрузить отчет из этой программы не понял, как-будто функции такой нет.

 

Вирус HEUR:Trojan.Script.Generic - по итогу сканирования программой не был найден.

CollectionLog-2024.11.19-16.47.zip

[thyrex]

Здравствуйте.

 

Цитата

Client Helper 6.1.4

uTorrent 8.2.9

удалите через Панель управления - Программы и компоненты

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 TerminateProcessByName('c:\users\user\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\user\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe','64');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1727546256524');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1727546258837');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Предыдущие логи сделаны устаревшей версией Autologger. Удалите папку с ним, скачайте актуальную версию по прямой ссылке в правилах. Соберите новые логи и прикрепите их к следующему сообщению.
 

[Mr. Denp]

После выполнения скриптов произошли изменения, которые успели броситься в глаза и возникли вопросы:

 

1. В Касперском появилась угроза. Что с ней делать (скриншот ниже)? 

 

 

2. Почему изменилось приложение почты? Аутлуком не пользовался, но приложение внешне изменилось и сам факт приписки "new" настораживает:

 

Новые логи во вложении.

Карантин отправил с помощью формы отправки карантина. Имя карантина - 2024.11.19_quarantine_8592bf6f2c9bf125f8d947d48eed6f4b.7z

 

Просьба подсказать, что делать дальше.

Что в итоге с вирусами HEUR:Trojan.Multi.GenBadur.genw и HEUR:Trojan.Script.Generic ?

И могу ли я возобновить работу антивируса Касперский Internet Security ?

 

CollectionLog-2024.11.19-23.38.zip

[thyrex]

1 час назад, Mr. Denp сказал:

В Касперском появилась угроза. Что с ней делать (скриншот ниже)? 

Ничего. Это драйвер AVZ.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Mr. Denp]

Выполнил.

 

Во вложении.

 

 

Один общий архив.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
2024-09-28 20:57 - 2024-11-19 21:57 - 000000000 ____D C:\Users\User\AppData\Roaming\uTorrentPro
2024-09-28 20:57 - 2024-11-03 20:13 - 000000000 ____D C:\Users\User\AppData\Local\utorrentpro-updater
2024-09-28 20:57 - 2024-09-28 20:57 - 000000264 _____ C:\Users\User\uTorrentPro.dat
2024-09-28 20:52 - 2024-11-19 22:03 - 000000000 ____D C:\Program Files\Client Helper
2024-09-28 20:52 - 2024-11-19 18:14 - 000011931 _____ C:\Users\User\ex-list2.json
2024-09-28 20:52 - 2024-10-10 00:10 - 000000000 ____D C:\Users\User\AppData\Local\clienthelper-updater
2024-09-28 20:52 - 2024-09-28 20:57 - 000000000 ____D C:\Users\User\AppData\Roaming\ClientHelper
2024-09-28 20:52 - 2024-09-28 20:52 - 000000000 ____D C:\Users\User\AppData\Roaming\com.gtoppocket.launcher
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\Desktop\Пенсия.jpeg:�3or4kl4x13tuuug3Byamue2s4b [97]
AlternateDataStreams: C:\Users\User\Desktop\Пенсия.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [TCP Query User{5CE0F069-CE4E-41CA-BA23-A23A92A7586E}F:\sdi_rus\sdi_x64_r2111.exe] => (Allow) F:\sdi_rus\sdi_x64_r2111.exe => Нет файла
FirewallRules: [UDP Query User{0BF1172B-A66A-4896-ABF7-8ECC50166D51}F:\sdi_rus\sdi_x64_r2111.exe] => (Allow) F:\sdi_rus\sdi_x64_r2111.exe => Нет файла
FirewallRules: [{E0A727D2-59DE-4909-B800-CE4102275BC0}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{1329FCDD-F73D-4BB2-B636-93E3D0356857}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Mr. Denp]

Прикрепил ниже

Fixlog.txt

[thyrex]

Проблема решена?

[Mr. Denp]

Несколько раз провел полную и быструю проверку Касперским, вирусы больше не обнаруживает! Огромное вам спасибо! 

 

Только остались вопросы по тому драйверу (скриншот во вложении), удалять его через Касперского?

 

Также, хотелось бы уточнить по поводу почты, что с ней произошло, и откуда взялось новое приложение (обнаружил после выполнения одного из скриптов)?

 

 

 

Еще раз благодарю!

 

[thyrex]

По поводу драйвера - выберите Игнорировать или Добавить в доверенные.

 

Никакой почты скриптами не добавляли. Обычно Outlook устанавливается по умолчанию с установкой MS Office.

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Mr. Denp]

Во вложении.

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20461 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Adobe Acrobat (64-bit) v.23.001.20064 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

 

На этом закончим.