KVRT нашёл вирус HEUR:Trojan.Multi.GenBadur.genw

[New User]

Здравствуйте.

 

Kaspersky Virus Removal Tool (буду называть сокращённо: KVRT) нашёл вирус и не может удалить его.

Каждый раз когда KVRT пытается удалить вирус он не удаляется, либо он возвращается при удалении.

Заранее благодарю за помощь.

CollectionLog-2025.03.18-21.34.zip

 

[thyrex]

Здравствуйте.

 

Цитата

uTorrent 8.2.5

MediaGet

 

удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files\utorrentpro\utorrentpro.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x64');
 DeleteFile('C:\Program Files\uTorrentPro\uTorrentPro.exe','64');
 DeleteSchedulerTask('DelayedItemsByChemtableSoftware\MediaGet2');
 DeleteFile('C:\Users\gafar\MediaGet2\mediaget.exe','64');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1722841007869');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1722841009921');
 DeleteFile('C:\Users\gafar\mediaget2\mediaget_crashpad_handler.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[New User]

Готово

 

CollectionLog-2025.03.19-10.35.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[New User]

Вот

Addition.7z

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Task: {81EB54A4-B3ED-4E2C-AC1D-37CB22C864C7} - System32\Tasks\DelayedItemsByChemtableSoftware\GameCenter => C:\Users\gafar\AppData\Local\GameCenter\GameCenter.exe [13748392 2025-03-17] (VK LLC -> VK LLC) <==== ВНИМАНИЕ
Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe  (Нет файла)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
C:\Users\gafar\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\efdcjldmnfmofimeijfoilhbfeadmdfi
C:\Users\gafar\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jjgpglldhfaabpkmnhhfinocmpnbpdhl
C:\Users\gafar\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\mghobbejmifojkflbnnfclcghpeahokk
C:\Users\gafar\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\bbfecceohmcgijlffckenobkmhgnmmdk
C:\Users\gafar\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\cnaoladalhoholgaflcjhlopdejahked
C:\Users\gafar\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\gonglnkogapiigplaaknmmpffjjlcmfe
C:\Program Files\uTorrentPro
CustomCLSID: HKU\S-1-5-21-2959050000-1457163468-3430456846-1001_Classes\CLSID\{169B5B8E-E315-41C7-9574-66FC7E530D10}\localserver32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-2959050000-1457163468-3430456846-1001_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-2959050000-1457163468-3430456846-1001_Classes\CLSID\{5C4D8D77-5B87-40CA-884E-F56858227E5C}\localserver32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-2959050000-1457163468-3430456846-1001_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-2959050000-1457163468-3430456846-1001_Classes\CLSID\{AA46BA8A-9825-40FD-8493-0BA3C4D5CEB5}\localserver32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-2959050000-1457163468-3430456846-1001_Classes\CLSID\{AF18D91C-A699-4578-ADC6-972F3BA007F0}\localserver32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-2959050000-1457163468-3430456846-1001_Classes\CLSID\{D5C4136A-93E5-4678-A6F8-0B2D9BB10999}\localserver32 -> C:\WINDOWS\System32\RunDll32.exe "C:\Program Files\Reg Organizer\Notifications.dll",Activate -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-2959050000-1457163468-3430456846-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> отсутствует путь к файлу
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [5162]
AlternateDataStreams: C:\ProgramData\sldh.dat:136096DD5B [5162]
AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AmneziaWG.lnk:9D5798B91D [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GearUP Booster.lnk:08ECAD2408 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TechPowerUp GPU-Z.lnk:718E15FDE8 [5162]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6088]
HKU\S-1-5-21-2959050000-1457163468-3430456846-1001\...\StartupApproved\Run: => "gt-launcher"
HKU\S-1-5-21-2959050000-1457163468-3430456846-1001\...\StartupApproved\Run: => "uTorrentPro"
HKU\S-1-5-21-2959050000-1457163468-3430456846-1001\...\StartupApproved\Run: => "MediaGet2"
FirewallRules: [{2DFDFDEB-64A5-49D2-A1A2-DF48CEC851B5}] => (Allow) C:\Users\gafar\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{CD64ED80-4DF3-4BEB-AB4A-F20CBAB862F8}] => (Allow) C:\Users\gafar\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{03B93065-83E1-48DE-969E-D6BA820F2B46}] => (Allow) C:\Users\gafar\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{66918FA8-8AAC-47AD-BE5E-0CC37B522FE7}] => (Allow) C:\Users\gafar\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [UDP Query User{89871217-C61B-4F8A-B67A-55BC8B3CD3BA}C:\users\gafar\appdata\local\vortxengine\app-2.4.22\signal-x64\signalrgb.exe] => (Block) C:\users\gafar\appdata\local\vortxengine\app-2.4.22\signal-x64\signalrgb.exe => Нет файла
FirewallRules: [TCP Query User{CB2DDF83-EE27-499C-B6D5-551D26DC1718}C:\users\gafar\appdata\local\vortxengine\app-2.4.22\signal-x64\signalrgb.exe] => (Block) C:\users\gafar\appdata\local\vortxengine\app-2.4.22\signal-x64\signalrgb.exe => Нет файла
FirewallRules: [UDP Query User{83E566A1-0056-4DB6-BDD3-9712301E1D04}E:\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe] => (Block) E:\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{241B1F65-74E0-4F4E-9E4A-8EBF9229F61F}E:\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe] => (Block) E:\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{3A52A6B5-52FD-4351-BF7A-653C0E69D2A7}E:\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) E:\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [TCP Query User{37CEDEC6-5210-4072-AC04-A87C76CAE61F}E:\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) E:\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [UDP Query User{EFE5B5D5-04D2-48E5-8981-01C193F3727D}C:\users\gafar\appdata\local\discord\app-1.0.9161\discord.exe] => (Allow) C:\users\gafar\appdata\local\discord\app-1.0.9161\discord.exe => Нет файла
FirewallRules: [TCP Query User{5CEFB855-3208-4B5A-B67F-454713C152FD}C:\users\gafar\appdata\local\discord\app-1.0.9161\discord.exe] => (Allow) C:\users\gafar\appdata\local\discord\app-1.0.9161\discord.exe => Нет файла
FirewallRules: [UDP Query User{2033EE4D-5772-4FBA-B1BF-2D187EB12AC3}E:\games\bloodstrike\engine\binaries\win64\bloodstrike.exe] => (Block) E:\games\bloodstrike\engine\binaries\win64\bloodstrike.exe => Нет файла
FirewallRules: [TCP Query User{EA07184B-36CE-4B92-B2B7-EF814A9FFD0C}E:\games\bloodstrike\engine\binaries\win64\bloodstrike.exe] => (Block) E:\games\bloodstrike\engine\binaries\win64\bloodstrike.exe => Нет файла
FirewallRules: [UDP Query User{927D3D40-9158-44E4-93BD-97FA78140D40}C:\riot games\riot client\riotclientelectron\riot client.exe] => (Block) C:\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
FirewallRules: [TCP Query User{DC34DE5E-3E1A-4C4C-8BC0-22EDFCB1D38D}C:\riot games\riot client\riotclientelectron\riot client.exe] => (Block) C:\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
FirewallRules: [{AB4A3100-FAF9-4F9F-B031-1EB0E6731538}] => (Allow) E:\steam\steamapps\common\Auto Clicker\AutoClicker.exe => Нет файла
FirewallRules: [{4AB30509-C441-4149-9A78-7D77CE91A2B2}] => (Allow) E:\steam\steamapps\common\Auto Clicker\AutoClicker.exe => Нет файла
FirewallRules: [TCP Query User{201CE2AF-75BF-486B-A0BA-7CCBDD856EB1}E:\games\ghostrunner2\ghostrunner2\binaries\win64\ghostrunner2-win64-shipping.exe] => (Block) E:\games\ghostrunner2\ghostrunner2\binaries\win64\ghostrunner2-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{070FC5B2-7C1A-4F34-A390-4C33CAEA2AAF}E:\games\ghostrunner2\ghostrunner2\binaries\win64\ghostrunner2-win64-shipping.exe] => (Block) E:\games\ghostrunner2\ghostrunner2\binaries\win64\ghostrunner2-win64-shipping.exe => Нет файла
FirewallRules: [{35EF90DB-65D8-4B3C-BE5D-4F6867E7418F}] => (Allow) E:\steam\steamapps\common\Crosshair V2\Crosshair.exe => Нет файла
FirewallRules: [{738284AD-E056-4A89-AC3D-DCB20950004F}] => (Allow) E:\steam\steamapps\common\Crosshair V2\Crosshair.exe => Нет файла
FirewallRules: [TCP Query User{D27F0EC4-1311-4F33-BD95-86CE560AF2C9}C:\users\gafar\appdata\local\faceit\app-2.0.35\faceit.exe] => (Block) C:\users\gafar\appdata\local\faceit\app-2.0.35\faceit.exe => Нет файла
FirewallRules: [UDP Query User{900C216C-21D4-4E2D-AE4F-6B4F84D5331F}C:\users\gafar\appdata\local\faceit\app-2.0.35\faceit.exe] => (Block) C:\users\gafar\appdata\local\faceit\app-2.0.35\faceit.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[New User]

Fixlog.txt

[thyrex]

Проблема решена?

[New User]

Вирус был удалён. Спасибо вам огромное! Кстати, а что он делает?

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.