[РЕШЕНО] Trojan.Multi.GenBadur.genw грузит ЦП на 100%

[Ugin]

Добрый вечер. Обнаружил у себя на ноутбуке загруженность ЦП на 100% в диспетчере задач. 

Стоял антивирус ESET, ничего не видел. Удалил его, поставил KVRT, при проверке он обнаружил Trojan.Multi.GenBadur.genw, имя объекта system memory.

Лечение не помогло, выдал какие-то ошибки. После перезагрузки выполнил полное сканирование, Trojan.Multi.GenBadur.genw появился вновь, также обнаружил четыре Trojan.JS.Trolec.gen.

Лечение, удаление, перезагрузка, ошибка.. После перезагрузки опять полное сканирование. Trojan.Multi.GenBadur.genw и Trojan.JS.Trolec.gen. 

Скачал AutoLogger.exe. Прикладываю к сообщению файл протоколов

CollectionLog-2026.03.12-00.19.zip

[safety]

Добавьте дополнительно образ автозапуска.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[Ugin]

Добавил образ автозапуска.

DESKTOP-J1KPT2T_2026-03-12_07-08-53_v5.0.5v x64.7z

[safety]

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу uVS без перезагрузкой системы

;uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EDGE.MICROSOFT.COM/EXTENSIONWEBSTOREBASE/V1/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNKAPKMKLNMIDBBGJAIPBGPCNBOMNAAKC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet


deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\HAPPY\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\USERS\HAPPY\APPDATA\LOCAL\TEMP\HP\SYSTEMOPTIMIZERTEMP\SYSTEMOPTIMIZER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\WONDERSHARE\MOBILETRANS\ELEVATIONSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EPIC GAMES\EPIC ONLINE SERVICES\SERVICE\EPICONLINESERVICESHOST.EXE
delref %SystemDrive%\USERS\HAPPY\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.4.5.498\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\HAPPY\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.11.3.818\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\HAPPY\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.11.3.818\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\HAPPY\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.11.3.818\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\HAPPY\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.0.2947\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref E:\SISETUP.EXE
delref %SystemDrive%\USERS\HAPPY\APPDATA\LOCAL\TEMP\{3D255FE0-3401-49FA-B4DF-BE387B7747A6}\8F345002.EXE
delref %SystemRoot%\TEMP\0A92782E-F1AF-46DD-9F84-5960C1505FE4\DISMHOST.EXE
delref %SystemDrive%\USERS\HAPPY\APPDATA\ROAMING\BITTORRENT\BITTORRENT.EXE
;-------------------------------------------------------------

restart

Далее:

после перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

+

добавьте логи FRST для контроля

Изменено 12 марта пользователем safety

[Ugin]

2026-03-12_07-26-58_log.txt

С FRST пока ничего не получилось. Лна запускается, обновляется и говорит, что не может быть запущена на моем пк

[safety]

+

добавьте логи FRST для контроля

[Ugin]

FRST не открывается после обновления

[safety]

Проверьте пока, что с детектом в KVRT

[Ugin]

10 минут назад, Ugin сказал:

FRST не открывается после обновления

Обновляется почему-то автоматически при запуске

[safety]

1 минуту назад, Ugin сказал:

Обновляется почему-то автоматически при запуске

Так и должно быть. Надо  дождаться пока завершится обновление, и запускать уже обновленную версию.

[Ugin]

Меняется ярлык и говорит, что невозможно

Это KVRT

С основного сайта не качает, скачал с зеркала. Запускаю, он обновляется, после не открывается

FRST С основного сайта не качает, скачал с зеркала. Запускаю, он обновляется, после не открывается

[safety]

По KVRT я ничего не вижу.

Есть те обнаружения, о которых вы писали выше

Цитата

Trojan.Multi.GenBadur.genw появился вновь, также обнаружил четыре Trojan.JS.Trolec.gen

в последнем сканировании?

 

Цитата

FRST С основного сайта не качает, скачал с зеркала. Запускаю, он обновляется, после не открывается

возможно какие то проблемы от провайдеров, связанные с ограничением доступа.

Изменено 12 марта пользователем safety

[Ugin]

В последнем ничего нет. Когда в диспетчер задач захожу, там нагрузка 75-100%, через пару секунд опускается до 1-2%

Изменено 12 марта пользователем Ugin

[safety]

Такое возможно, и может быть не связано с вирусным заражением,

но хотелось бы посмотреть еще и логи FRST. VPN не установлен у вас?

[Sandor]

@Ugin, скачайте утилиту с зеркала, там сейчас обновлённая версия.