[РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw

[JIOCb]

Добрый день.

С 20.04.2026 KES в корпоративной сети стал обнаруживать в памяти троян:

Описание результата: Не обработано
Тип: Троянская программа
Название: HEUR:Trojan.Multi.GenBadur.genw
Пользователь: PR-COM-240808\user (Инициатор)
Объект: System Memory
Причина: Записано в отчет

Скопировать в карантин/вылечить/выяснить источник напрямую не удалось.
Экспериментальным методом пришёл к следующему: вирус детектится если включена служба "Агент администрирования Kaspersky Security Center" и есть интернет (доступ до нашего сервера отключал на роутере, без него также происходит детекция). Дальнейшее отключение интернета/остановка службы никак не влияют, вирус продолжает детектиться.
Вирус обнаруживается только в System Memory, сканирование файловой системы результата не даёт, проверка инсталлятора, который используем - также без детекций. Обнаруживается вирус как KES так и KVR. CureIt никаких проблем не видит.

Инсталлятор, которым пользуемся, могу выложить через какой-нибудь файлообменник (объём превышает 5 MB).

Во вложении лог автологгера, выполнен на свежеустановленной ОС с агентом.

Заранее спасибо.

CollectionLog-2026.04.24-15.58.zip

Изменено 24 апреля пользователем JIOCb

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

• Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[JIOCb]

Добрый день.
Результаты сканирования FRST во вложении.

FRST.zip

[thyrex]

PR-COM-240808\user - это компьютер, на котором собраны логи?

[JIOCb]

Нет, это один из компьютеров в сети, на котором есть детекция (извините, если запутал).
Все логи (и FRST и Autologer) собраны на свежеустановленной Windows 10, на которой из программ установлен только агент администрирования и архиватор (детекция вируса также есть).
Имя компьютера, на котором собраны логи - DESKTOP-25G31J0.

Изменено 27 апреля пользователем JIOCb

[thyrex]

Нужно собрать логи на компьютере, на который идет детект

[JIOCb]

Как я ранее и писал - на чистой установке Windows 10 с установленным агентом администрирования есть детект.
Логи собраны на нём.
Запутать Вас могла только вставка с примером детекции с сервера администрирования (копировать было проще).
Во вложении - скрин с той машины, с которой сняты логи.

[thyrex]

Тогда наверняка ложное срабатывание

[JIOCb]

Если это ложное срабатывание - можно ли как-то подавить его детекцию?
С файловыми тревогами - понимаю, что можно настроить исключение, но тут то детекция в памяти (отключать компонент защиты не хочется, мало-ли что-то другое пользователи поймают).

Изменено 29 апреля пользователем JIOCb
Дополнил свою мысль.

[thyrex]

При наличии лицензии обратитесь в техподдержку, пусть они устраняют проблему.

 

Вообще этот детект связан был с ложными торрент-качалками. Судя по установленным приложениям ничего подобного у Вас не имеется.

[JIOCb]

Спасибо.

[JIOCb]

Дополню пост: связался с техподдержкой, предоставил запрошенные логи.
Подтвердилось ложное срабатывание, которое поправили при следующем обновлении вирусной базы.
Теперь всё хорошо.
 

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".