HEUR:Trojan.Multi.GenBadur.genw не лечит после перезагрузки

[Taaeq]

KVRT нашел вирус в системной памяти, не лечит
Пробовал с других тем выполнять скрипты через avz и uvs но ничего не помогло

CollectionLog-2025.01.26-19.09.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Taaeq\AppData\Local\Programs\com.brotorrent.torrent-client-utorrent\uTorrent-v2.exe','');
 TerminateProcessByName('c:\users\taaeq\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\taaeq\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('Temp');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1730792523931');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1730792526169');
 DeleteSchedulerTask('uTorrent_v2UpdaterV5_t1736782433190');
 DeleteSchedulerTask('uTorrent_v2UpdaterV6_t1736782435248');
 DeleteSchedulerTask('UpdateUTorrentV4');
 DeleteFile('C:\Users\Taaeq\AppData\Local\Programs\com.brotorrent.torrent-client-utorrent\uTorrent-v2.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Taaeq]

CollectionLog-2025.01.26-22.46.zipновые логи

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Taaeq]

Прикрепляю файлы FRST и Additionfrstaddition.rar

[thyrex]

После скрипта

uTorrent 8.2.9

удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [8cc24338-46b6-4d6a-a447-ccbe2eefb5e1] => "C:\Temp\{cb74af0e-31b7-461e-8853-1a3fc730468b}\8cc24338-46b6-4d6a-a447-ccbe2eefb5e1.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3229254905-3796639570-2568300526-1004\...\MountPoints2: {d1d04adb-b9ec-11ef-bac7-a85e45b4a2ee} - "E:\autorun.exe" 
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {F142E69D-9090-4C4C-9D3B-0AF073B41820} - System32\Tasks\EdgeUpdate => C:\Windows\system32\cmd.exe [289792 2021-08-20] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2025-01-13 22:32 - 2025-01-26 17:12 - 000000000 ____D C:\Users\Taaeq\AppData\Local\com.brotorrent.torrent-client-utorrent-updater
2025-01-13 22:32 - 2025-01-26 14:45 - 000020223 _____ C:\Users\Taaeq\ex-list
2025-01-13 22:32 - 2025-01-26 14:45 - 000000000 ____D C:\Users\Taaeq\AppData\Roaming\com.brotorrent.torrent-client-utorrent
2025-01-13 22:32 - 2025-01-13 22:33 - 000000383 _____ C:\Users\Taaeq\bs-list.json
2025-01-13 22:32 - 2025-01-13 22:32 - 000000167 _____ C:\Users\Taaeq\e-user.json
2025-01-13 22:21 - 2025-01-13 22:22 - 012359280 _____ (ScandinavianByte OU ) C:\Users\Taaeq\Downloads\WinWordSetup.exe
2024-11-05 02:53 - 2025-01-25 14:09 - 000000344 _____ () C:\Users\Taaeq\uTorrentPro.dat
AlternateDataStreams: C:\ProgramData:0c62d0fc [1358]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\Users\All Users:0c62d0fc [1358]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:0c62d0fc [1358]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:0c62d0fc [1358]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:0c62d0fc [1358]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Taaeq\Application Data:0c62d0fc [1358]
AlternateDataStreams: C:\Users\Taaeq\Application Data:NT [40]
AlternateDataStreams: C:\Users\Taaeq\AppData\Roaming:0c62d0fc [1358]
AlternateDataStreams: C:\Users\Taaeq\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Taaeq\Documents\GTA San Andreas User Files:0c62d0fc [1358]
HKU\S-1-5-21-3229254905-3796639570-2568300526-1004\...\StartupApproved\Run: => "uTorrent-v2"
FirewallRules: [{49C074F7-56B6-4CD8-B7A4-00F3FA2F04B7}] => (Allow) F:\SteamLibrary\steamapps\common\7 Days To Die\7dLauncher.exe => Нет файла
FirewallRules: [{86A1F18F-DF72-4D4F-8529-C2B4C11AD36C}] => (Allow) F:\SteamLibrary\steamapps\common\7 Days To Die\7dLauncher.exe => Нет файла
FirewallRules: [{5BA2E80B-4AAB-4955-99C6-FAC22EADEA5D}] => (Allow) F:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{BD6F7DB6-DC7A-4341-972D-9B2614477D26}] => (Allow) F:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{B84F3084-95F8-477F-A072-E5506BE0CD48}] => (Allow) C:\Temp\7zS295B\HPEasyStart\HP.EasyStart.exe => Нет файла
FirewallRules: [{0DCCA295-E996-461D-8F33-FF2083ECFD57}] => (Allow) C:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Нет файла
FirewallRules: [{97EF22C2-E197-4278-BD99-88F61BE90E0B}] => (Allow) C:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.