Heur:Trojan.Multi.GenBadur.genw не удаляется

[Kirill_Pavlov]

Обнаружил троян при проверке KVRT. Не удаляется. Прошу помощи. После чего он появился точно сказать не могу. Предполагаю, что после скачивания игры с сайта moreigr.org либо stoigr.org.; первый сайт с большей долей вероятности. Заранее большое спасибо!!!

CollectionLog-2025.01.11-10.00.zip

[thyrex]

Здравствуйте.

 

Цитата

Client Helper 6.1.6

uTorrent 8.2.9

удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 TerminateProcessByName('c:\users\pavlo\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\pavlo\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1730221143669');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1730221146746');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Kirill_Pavlov]

Прикрепляю новые логи.

CollectionLog-2025.01.11-16.40.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Kirill_Pavlov]

Готово.

Scan.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {63F69B54-AC65-4040-B2FD-3092F176E7C8} - System32\Tasks\uTorrentProUpdaterV5_t1730221143669 => "C:\Users\Pavlo\AppData\Roaming\utorrent\pro\uTorrentPro.exe"  /LHS (Нет файла) <==== ВНИМАНИЕ
Task: {1CAB14DB-10BC-4843-B170-EF7DFB82E384} - System32\Tasks\uTorrentProUpdaterV6_t1730221146746 => "C:\Users\Pavlo\AppData\Roaming\utorrent\pro\uTorrentPro.exe"  /LHS (Нет файла) <==== ВНИМАНИЕ
Task: {C38DD20A-7902-44DC-AFC7-C2AB323369FF} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1094\service_update.exe  --repair (Нет файла)
C:\Users\Pavlo\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ijdpmphjpmlebngkfncepjmgidgbofic
C:\Users\Pavlo\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\njkahaijpcloaabcbionbdeekffnpiek
C:\Users\Pavlo\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\ibgiilchondkcdhcdlebaiijmnaggoig
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
S2 AdskNLM; "C:\Program Files (x86)\Common Files\Autodesk Shared\Network License Manager\lmgrd.exe" [X]
2024-10-29 17:04 - 2024-10-29 17:04 - 000000000 ____D C:\Users\Pavlo\AppData\Local\utorrentpro-updater
2024-10-29 16:58 - 2025-01-11 16:15 - 000000000 ____D C:\Program Files\Client Helper
2024-10-29 16:58 - 2024-10-29 17:04 - 000000000 ____D C:\Users\Pavlo\AppData\Roaming\ClientHelper
2024-10-29 16:58 - 2024-10-29 16:58 - 000000000 ____D C:\Users\Pavlo\AppData\Roaming\com.gtoppocket.launcher
2024-10-29 16:58 - 2024-10-29 16:58 - 000000000 ____D C:\Users\Pavlo\AppData\Local\clienthelper-updater
2024-10-29 19:54 - 2025-01-11 09:05 - 000008359 _____ C:\Users\Pavlo\ex-list2.json
CustomCLSID: HKU\S-1-5-21-1881491072-1609077258-570289828-1001_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> C:\Autodesk\AutoCAD 2022\acad.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-1881491072-1609077258-570289828-1001_Classes\CLSID\{4AC6DFE1-607B-45B2-B289-D7FBCD44169C}\localserver32 -> C:\Автодеск\AutoCAD 2019\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-1881491072-1609077258-570289828-1001_Classes\CLSID\{5C4D8D77-5B87-40CA-884E-F56858227E5C}\localserver32 -> C:\тимспик\notification_helper.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-1881491072-1609077258-570289828-1001_Classes\CLSID\{65714308-6B1F-4E09-B53D-F9D3474FAEBF}\InprocServer32 -> C:\Program Files\Mozilla Firefox\notificationserver.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1881491072-1609077258-570289828-1001_Classes\CLSID\{74D0CE91-F931-4FAC-BEA9-EE32E43EAD37}\localserver32 -> C:\Автодеск\AutoCAD 2019\acad.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-1881491072-1609077258-570289828-1001_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> C:\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-1881491072-1609077258-570289828-1001_Classes\CLSID\{AA46BA8A-9825-40FD-8493-0BA3C4D5CEB5}\localserver32 -> C:\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-1881491072-1609077258-570289828-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Autodesk\AutoCAD 2022\ru-RU\acadficn.dll => Нет файла
C:\Users\Pavlo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\World_of_Tanks_RU\Удалить World of Tanks RU.lnk
C:\Users\Pavlo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lesta Games\Tanki\Мир танков.lnk
C:\Users\Pavlo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lesta Games\Tanki\Удалить Мир танков.lnk
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [10194]
FirewallRules: [{926A32A3-21E8-4ACF-A738-2691DBE08173}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe => Нет файла
FirewallRules: [TCP Query User{7A045A20-D022-400A-9388-8DB060BA39B7}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Block) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{5BCB26B6-6AE1-415B-8976-712D342DF547}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Block) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [TCP Query User{619B85BB-2BAB-40B7-A6E2-DBD3E38931F5}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Block) C:\programdata\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [UDP Query User{D6336454-B208-4331-91AC-78820411392B}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Block) C:\programdata\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [TCP Query User{856E9AF1-C396-4AC7-B1D3-46A0A812AE78}C:\games\hearthstone\hearthstone.exe] => (Block) C:\games\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [UDP Query User{6AD3530F-355D-4886-96CF-F5A0585A6A1F}C:\games\hearthstone\hearthstone.exe] => (Block) C:\games\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [TCP Query User{5CA308C3-C43F-452E-9B47-321B2E403E46}C:\games\the long dark\tld.exe] => (Block) C:\games\the long dark\tld.exe => Нет файла
FirewallRules: [UDP Query User{11AFE5B9-369A-4ADB-B95D-517911DA325C}C:\games\the long dark\tld.exe] => (Block) C:\games\the long dark\tld.exe => Нет файла
FirewallRules: [TCP Query User{1C4BB969-5468-45F3-8449-015155A22FE7}C:\games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe] => (Allow) C:\games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{322FBDA2-03E5-412D-BCF9-7EDC59303289}C:\games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe] => (Allow) C:\games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{73A316C6-9DDE-4E9B-8E97-64450C240D1C}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Block) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{1BE8A694-6A61-46D1-833E-266E028ABD44}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Block) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [TCP Query User{4FA9BC22-B3DA-4949-AEEC-0D9E2ECE1879}C:\games\hearthstone\hearthstone.exe] => (Block) C:\games\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [UDP Query User{92507103-2078-44C8-B6E0-D7A31907B970}C:\games\hearthstone\hearthstone.exe] => (Block) C:\games\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [TCP Query User{7C94C4AD-F8C0-4069-BE15-8241F422C579}C:\games\magicthegathering\mtga.exe] => (Allow) C:\games\magicthegathering\mtga.exe => Нет файла
FirewallRules: [UDP Query User{2263E50E-B39F-483C-B730-A823BDEE62B0}C:\games\magicthegathering\mtga.exe] => (Allow) C:\games\magicthegathering\mtga.exe => Нет файла
FirewallRules: [TCP Query User{875B4CE8-4B2F-4AD0-B2D8-7F7BA696C89D}C:\users\pavlo\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\pavlo\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [UDP Query User{B14DE424-D7A9-4301-A173-BBC3B1612E14}C:\users\pavlo\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\pavlo\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [{78348EDF-2D82-40AA-AEE6-2D2129F2DB1D}] => (Allow) C:\Program Files (x86)\Overwolf\0.243.1.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{01E94C3F-E1B0-4B11-A375-D390D6909567}] => (Allow) C:\Program Files (x86)\Overwolf\0.243.1.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{9DC91BD2-B34E-49D9-B439-7002447ECC3B}] => (Block) C:\Program Files (x86)\Overwolf\0.243.1.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{BA93B377-A95D-45FB-9DA8-174505E4BDA8}] => (Block) C:\Program Files (x86)\Overwolf\0.243.1.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{71BF2E1C-4011-4E95-8CC2-43F965395BE9}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{6368C2B4-2750-406B-931D-093C0DD70798}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [TCP Query User{427BEDA9-F6BB-4000-8DDB-5DF9C6966C80}C:\games\borderlands\game\binaries\borderlands.exe] => (Block) C:\games\borderlands\game\binaries\borderlands.exe => Нет файла
FirewallRules: [UDP Query User{CDA69889-90D0-4DD8-AE0E-A866B2E770DF}C:\games\borderlands\game\binaries\borderlands.exe] => (Block) C:\games\borderlands\game\binaries\borderlands.exe => Нет файла
FirewallRules: [TCP Query User{498F94F5-40B4-441D-AF65-B43CB5E065DF}C:\program files (x86)\innova\4game2.0\bin\cefsharp.browsersubprocess.exe] => (Allow) C:\program files (x86)\innova\4game2.0\bin\cefsharp.browsersubprocess.exe => Нет файла
FirewallRules: [UDP Query User{EAF272E5-B197-4A87-BC14-7F3BB9725A41}C:\program files (x86)\innova\4game2.0\bin\cefsharp.browsersubprocess.exe] => (Allow) C:\program files (x86)\innova\4game2.0\bin\cefsharp.browsersubprocess.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Kirill_Pavlov]

Fixlog_12-01-2025 10.21.36.txt

[thyrex]

Проблема решена?

[Kirill_Pavlov]

Вроде бы да, большое спасибо!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.