[РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw после лечения с перезагрузкой появляется вновь

[tranquilo]

Здравствуйте! Вирус HEUR:Trojan.Multi.GenBadur.genw, расположение:системная память, после лечения с перезагрузкой появляется вновь.FRST.txt

2024-11-26_20-05-35_log.txt

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[tranquilo]

Здравствуйте. 

CollectionLog-2024.12.17-22.40.zip

[thyrex]

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files\utorrentpro\utorrentpro.exe');
 DeleteFile('c:\program files\utorrentpro\utorrentpro.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x32');
 DeleteSchedulerTask('uTorrentProUpdaterV5');
 DeleteSchedulerTask('uTorrentProUpdaterV6');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[tranquilo]

Здравствуйте.

CollectionLog-2024.12.19-22.10.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[tranquilo]

Есть

Desktop.rar

[thyrex]

uTorrent 8.1.2

удалите через Установку программ или принудительно с помощью Geek Uninstaller

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-473192288-3123550619-3477097427-1001\...\Run: [YandexBrowserAutoLaunch_D5F1551FD0C48A21877FF2E58631DA52] => "C:\Users\Nikita\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-473192288-3123550619-3477097427-1001\...\RunOnce: [Application Restart #1] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe  --flag-switches-begin --flag-switches-end --enable-audio-service-sandbox --origin-trial-disabled-features=MeasureMemory --restore-last-sess (запись имеет ещё 76 символов). (Нет файла)
C:\Users\Nikita\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\mbegdgkkjidncmlefnaegjpghlngnkmn
2024-12-19 22:03 - 2024-04-14 18:19 - 000000000 ____D C:\Program Files\uTorrentPro
2024-12-19 22:02 - 2024-04-14 18:19 - 000000000 ____D C:\Users\Nikita\AppData\Roaming\uTorrentPro
2024-12-19 22:02 - 2023-11-01 21:04 - 000013011 _____ C:\Users\Nikita\ex-list
C:\Users\Nikita\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PAO Rostelecom\Ростелеком.lnk
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
FirewallRules: [{B6C77BBC-001A-4F7B-B9C1-89C6BCD7F6E1}] => (Allow) C:\Program Files (x86)\Origin Games\Battlefield 4\BFLauncher_x86.exe => Нет файла
FirewallRules: [{6D261B66-1500-4CA2-A6A9-1B606BB70A4C}] => (Allow) C:\Program Files (x86)\Origin Games\Battlefield 4\BFLauncher_x86.exe => Нет файла
FirewallRules: [{F77FD8E3-12D7-4684-BA22-167A3B51CDCE}] => (Allow) C:\Program Files (x86)\Origin Games\Battlefield 4\BFLauncher.exe => Нет файла
FirewallRules: [{FC27C56D-6C20-4B3C-9D9E-83B260854969}] => (Allow) C:\Program Files (x86)\Origin Games\Battlefield 4\BFLauncher.exe => Нет файла
FirewallRules: [{E291D45B-ECAB-43FF-8310-621BC5140C48}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{195B8ADD-ABD8-4B5D-BE60-9BD58010E58D}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{4BEEDD05-E22B-4AEA-9DB8-764F51B3EF18}] => (Allow) C:\Users\Nikita\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{BA5FE873-6117-4330-8FF8-90A465C4D4F9}] => (Allow) C:\Users\Nikita\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{BB815F18-BA26-4E1A-9511-F12614D291DA}C:\users\nikita\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\nikita\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{E41ABEEA-C6FF-4D27-8683-AAB0B48AD05C}C:\users\nikita\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\nikita\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{AF1246FB-7892-4FB1-AC37-8C10343AD9F5}C:\games\sunkenland\sunkenland.exe] => (Allow) C:\games\sunkenland\sunkenland.exe => Нет файла
FirewallRules: [UDP Query User{B86D1D7D-6518-49F0-933D-3F20501A56D2}C:\games\sunkenland\sunkenland.exe] => (Allow) C:\games\sunkenland\sunkenland.exe => Нет файла
FirewallRules: [TCP Query User{FD38F8FD-7B04-49A4-85F2-5652027A70A4}C:\users\nikita\downloads\nucleusapp\content\raft\instance0\raft.exe] => (Allow) C:\users\nikita\downloads\nucleusapp\content\raft\instance0\raft.exe => Нет файла
FirewallRules: [UDP Query User{6EE41F14-955D-4D48-A7DD-386A53A59B1C}C:\users\nikita\downloads\nucleusapp\content\raft\instance0\raft.exe] => (Allow) C:\users\nikita\downloads\nucleusapp\content\raft\instance0\raft.exe => Нет файла
FirewallRules: [TCP Query User{0C8BB747-1B7E-4FB5-B774-69004C39A90A}C:\users\nikita\downloads\nucleusapp\content\raft\instance1\raft.exe] => (Allow) C:\users\nikita\downloads\nucleusapp\content\raft\instance1\raft.exe => Нет файла
FirewallRules: [UDP Query User{9DA50E42-1073-487E-9E43-91DE8759A979}C:\users\nikita\downloads\nucleusapp\content\raft\instance1\raft.exe] => (Allow) C:\users\nikita\downloads\nucleusapp\content\raft\instance1\raft.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[tranquilo]

Есть. Скопированный в буфер обмена код получается никуда не вставлял

Fixlog.txt

[thyrex]

Проблема решена?

[tranquilo]

Так увлёкся, что забыл о проблеме) Да, решена, спасибо Вам большое. Донатить можно?

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[tranquilo]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.131.0.2903.99 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Яндекс.Диск v.3.2.42.5054 Внимание! Скачать обновления
Google Drive v.2.34.9392.7803 Внимание! Скачать обновления
Yandex v.24.12.1.714 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Microsoft Edge v.131.0.2903.99 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На этом закончим.

[tranquilo]

Спасибо!