Вирусы: HEUR:Trojan.Multi.GenBadur.genw и HEUR:Trojan.Script.Generic

[Mr. Denp]

Добрый день!

 

Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.

Процесс лечения заканчивается следующей ошибкой:

 

Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.

И так по кругу. 

Вирус находится в системной памяти.

 

Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.

 

Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?

Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.

 

Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.

 

Заранее благодарен!

 

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[Mr. Denp]

Добрый вечер!

 

Во вложении логи.

 

После проверки Virus Rуmoval Tool - вирус HEUR:Trojan.Multi.GenBadur.genw был найден и после попытки удаления ( после перезагрузки ) возникла такая-же ошибка, как прикреплял ранее на скриншоте.

 

После перезагрузки компьютера, программа автоматически запустилась и началась более долгая проверка ( больший объем данных ) - по итогу нашелся новый троян, который удалился без перезагрузки. И все проблем нет. Закрыл программу. Через некоторое время заново ее запустил - проверка - вирус HEUR:Trojan.Multi.GenBadur.genw снова на месте. 

 

Как выгрузить отчет из этой программы не понял, как-будто функции такой нет.

 

Вирус HEUR:Trojan.Script.Generic - по итогу сканирования программой не был найден.

CollectionLog-2024.11.19-16.47.zip

[thyrex]

Здравствуйте.

 

Цитата

Client Helper 6.1.4

uTorrent 8.2.9

удалите через Панель управления - Программы и компоненты

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 TerminateProcessByName('c:\users\user\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\user\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe','64');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1727546256524');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1727546258837');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Предыдущие логи сделаны устаревшей версией Autologger. Удалите папку с ним, скачайте актуальную версию по прямой ссылке в правилах. Соберите новые логи и прикрепите их к следующему сообщению.
 

[Mr. Denp]

После выполнения скриптов произошли изменения, которые успели броситься в глаза и возникли вопросы:

 

1. В Касперском появилась угроза. Что с ней делать (скриншот ниже)? 

 

 

2. Почему изменилось приложение почты? Аутлуком не пользовался, но приложение внешне изменилось и сам факт приписки "new" настораживает:

 

Новые логи во вложении.

Карантин отправил с помощью формы отправки карантина. Имя карантина - 2024.11.19_quarantine_8592bf6f2c9bf125f8d947d48eed6f4b.7z

 

Просьба подсказать, что делать дальше.

Что в итоге с вирусами HEUR:Trojan.Multi.GenBadur.genw и HEUR:Trojan.Script.Generic ?

И могу ли я возобновить работу антивируса Касперский Internet Security ?

 

CollectionLog-2024.11.19-23.38.zip

[thyrex]

1 час назад, Mr. Denp сказал:

В Касперском появилась угроза. Что с ней делать (скриншот ниже)? 

Ничего. Это драйвер AVZ.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Mr. Denp]

Выполнил.

 

Во вложении.

 

 

Один общий архив.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
2024-09-28 20:57 - 2024-11-19 21:57 - 000000000 ____D C:\Users\User\AppData\Roaming\uTorrentPro
2024-09-28 20:57 - 2024-11-03 20:13 - 000000000 ____D C:\Users\User\AppData\Local\utorrentpro-updater
2024-09-28 20:57 - 2024-09-28 20:57 - 000000264 _____ C:\Users\User\uTorrentPro.dat
2024-09-28 20:52 - 2024-11-19 22:03 - 000000000 ____D C:\Program Files\Client Helper
2024-09-28 20:52 - 2024-11-19 18:14 - 000011931 _____ C:\Users\User\ex-list2.json
2024-09-28 20:52 - 2024-10-10 00:10 - 000000000 ____D C:\Users\User\AppData\Local\clienthelper-updater
2024-09-28 20:52 - 2024-09-28 20:57 - 000000000 ____D C:\Users\User\AppData\Roaming\ClientHelper
2024-09-28 20:52 - 2024-09-28 20:52 - 000000000 ____D C:\Users\User\AppData\Roaming\com.gtoppocket.launcher
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\Desktop\Пенсия.jpeg:�3or4kl4x13tuuug3Byamue2s4b [97]
AlternateDataStreams: C:\Users\User\Desktop\Пенсия.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [TCP Query User{5CE0F069-CE4E-41CA-BA23-A23A92A7586E}F:\sdi_rus\sdi_x64_r2111.exe] => (Allow) F:\sdi_rus\sdi_x64_r2111.exe => Нет файла
FirewallRules: [UDP Query User{0BF1172B-A66A-4896-ABF7-8ECC50166D51}F:\sdi_rus\sdi_x64_r2111.exe] => (Allow) F:\sdi_rus\sdi_x64_r2111.exe => Нет файла
FirewallRules: [{E0A727D2-59DE-4909-B800-CE4102275BC0}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{1329FCDD-F73D-4BB2-B636-93E3D0356857}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.