[РЕШЕНО] Вирус Trojan.Win64.Miner.gen

[Вадим я]

добрый день. упомянутый вирус не удаляется касперским. удаляется но опять после перезапуска восстанавливается.

прилаживаю лог

CollectionLog-2021.07.02-10.03.zip report2.log

 проверки кvrt и доктором веб проводил - доктор веб нашел легальную программу которой пользуюсь уже года 2, км плауер, уверен что дело не в ней. kvrt  не нашел ничего.

Изменено 2 июля, 2021 пользователем Вадим я

[SQ]

Здравствуйте,

 

Уточните пожалуйста сами устанавливали следующее ПО ?
 

Transmission

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFileF('C:\ProgramData\CSGOCalc', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
 QuarantineFileF('C:\ProgramData\SCGO', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
BC_ImportQuarantineList;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Вадим я]

45 minutes ago, SQ said:

Здравствуйте,

 

Уточните пожалуйста сами устанавливали следующее ПО ?
 

Transmission

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFileF('C:\ProgramData\CSGOCalc', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
 QuarantineFileF('C:\ProgramData\SCGO', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
BC_ImportQuarantineList;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Программы сам устанавливал - которые проверял ПК на вирусы. или ВЫ не про эти?

логи-

Addition.txt FRST.txt

 

после перезагрузки вирус опять зафиксирован. скан проводил при не отключенном антивирусе, отсканировалось все нормально,сбоев не было

Изменено 2 июля, 2021 пользователем Вадим я

[SQ]

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   CloseProcesses:
   GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
   GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
   Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   File: C:\ProgramData\DatacardService\DCService.exe
   Folder: C:\ProgramData\CSGOCalc
   Folder: C:\ProgramData\SCGO
   File: C:\Обход торрентов\Tor\tor.exe
   Folder: C:\ProgramData\CS Changer
   Folder: C:\ProgramData\ZlfredManage
   File: E:\SPV\Vegas Pro 16\vegas160.exe
   AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjihljp [0]
   FirewallRules: [UDP Query User{9ED96050-F407-425E-8060-CF64367D9D15}F:\games\wargaming.net\gamecenter\dlls\wgc_renderer.exe] => (Allow) F:\games\wargaming.net\gamecenter\dlls\wgc_renderer.exe => Нет файла
   FirewallRules: [TCP Query User{5EAE66AD-8B55-40CA-AA73-80DDAACBCBDC}F:\games\wargaming.net\gamecenter\dlls\wgc_renderer.exe] => (Allow) F:\games\wargaming.net\gamecenter\dlls\wgc_renderer.exe => Нет файла
   FirewallRules: [UDP Query User{ADDB0AB9-9630-4389-AD3E-72EF73A8D059}F:\games\empyrion_galactic_surviva\empyrion_galactic_survival_v12.2_2969\client\empyrion.exe] => (Allow) F:\games\empyrion_galactic_surviva\empyrion_galactic_survival_v12.2_2969\client\empyrion.exe => Нет файла
   FirewallRules: [TCP Query User{DF824A78-DAFA-4F16-9F7B-D21085293A14}F:\games\empyrion_galactic_surviva\empyrion_galactic_survival_v12.2_2969\client\empyrion.exe] => (Allow) F:\games\empyrion_galactic_surviva\empyrion_galactic_survival_v12.2_2969\client\empyrion.exe => Нет файла
   FirewallRules: [{2C071800-A208-4117-8CB7-BB2C83B29006}] => (Allow) C:\Users\123\AppData\Local\Programs\Opera\76.0.4017.123\opera.exe => Нет файла
   FirewallRules: [TCP Query User{BCAAB881-F2B7-4A8A-AAAC-78C17DB0FF1F}D:\games\space engineers\bin64\spaceengineers.exe] => (Block) D:\games\space engineers\bin64\spaceengineers.exe => Нет файла
   FirewallRules: [UDP Query User{69B1C334-8FD1-467E-9A3A-D1063319E394}D:\games\space engineers\bin64\spaceengineers.exe] => (Block) D:\games\space engineers\bin64\spaceengineers.exe => Нет файла
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

[Вадим я]

11 minutes ago, SQ said:

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Выделите следующий код::

   
   Start::
   CreateRestorePoint:
   CloseProcesses:
   GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
   GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
   Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   File: C:\ProgramData\DatacardService\DCService.exe
   Folder: C:\ProgramData\CSGOCalc
   Folder: C:\ProgramData\SCGO
   File: C:\Обход торрентов\Tor\tor.exe
   Folder: C:\ProgramData\CS Changer
   Folder: C:\ProgramData\ZlfredManage
   File: E:\SPV\Vegas Pro 16\vegas160.exe
   AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjihljp [0]
   FirewallRules: [UDP Query User{9ED96050-F407-425E-8060-CF64367D9D15}F:\games\wargaming.net\gamecenter\dlls\wgc_renderer.exe] => (Allow) F:\games\wargaming.net\gamecenter\dlls\wgc_renderer.exe => Нет файла
   FirewallRules: [TCP Query User{5EAE66AD-8B55-40CA-AA73-80DDAACBCBDC}F:\games\wargaming.net\gamecenter\dlls\wgc_renderer.exe] => (Allow) F:\games\wargaming.net\gamecenter\dlls\wgc_renderer.exe => Нет файла
   FirewallRules: [UDP Query User{ADDB0AB9-9630-4389-AD3E-72EF73A8D059}F:\games\empyrion_galactic_surviva\empyrion_galactic_survival_v12.2_2969\client\empyrion.exe] => (Allow) F:\games\empyrion_galactic_surviva\empyrion_galactic_survival_v12.2_2969\client\empyrion.exe => Нет файла
   FirewallRules: [TCP Query User{DF824A78-DAFA-4F16-9F7B-D21085293A14}F:\games\empyrion_galactic_surviva\empyrion_galactic_survival_v12.2_2969\client\empyrion.exe] => (Allow) F:\games\empyrion_galactic_surviva\empyrion_galactic_survival_v12.2_2969\client\empyrion.exe => Нет файла
   FirewallRules: [{2C071800-A208-4117-8CB7-BB2C83B29006}] => (Allow) C:\Users\123\AppData\Local\Programs\Opera\76.0.4017.123\opera.exe => Нет файла
   FirewallRules: [TCP Query User{BCAAB881-F2B7-4A8A-AAAC-78C17DB0FF1F}D:\games\space engineers\bin64\spaceengineers.exe] => (Block) D:\games\space engineers\bin64\spaceengineers.exe => Нет файла
   FirewallRules: [UDP Query User{69B1C334-8FD1-467E-9A3A-D1063319E394}D:\games\space engineers\bin64\spaceengineers.exe] => (Block) D:\games\space engineers\bin64\spaceengineers.exe => Нет файла
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

вирусняк на месте

Fixlog.txt

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

 

Что-то мне не нравиться служба Transmission давайте мы ее остановим и вы понаблюдаете если майнер возвращается?

 

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   CloseProcesses:
   CMD: sc stop Transmission
   DisableService: Transmission
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

[Вадим я]

3 hours ago, SQ said:

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

 

Что-то мне не нравиться служба Transmission давайте мы ее остановим и вы понаблюдаете если майнер возвращается?

 

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Выделите следующий код::

   
   
   
   Start::
   CreateRestorePoint:
   CloseProcesses:
   CMD: sc stop Transmission
   DisableService: Transmission
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

К сожалению , не смог остановить антивирус, но судя по логу все прошло нормально- не нравится то что многие файлы были повреждены, что отображалось в ходе создания образа автозагрузки.  На данный момент антивирус удаляет троян, перезагружу еще раз посмотрю что будет

Fixlog.txt DESKTOP-5KVQFF4_2021-07-02_16-10-31_v4.11.6.7z

 

после перезагрузки нет окна об майнере. но появилось окно об легальной программе-

 

 

никаких программ или драйверов я не устанавливал .

Изменено 2 июля, 2021 пользователем Вадим я

[thyrex]

Это драйвер от AVZ

[Вадим я]

45 minutes ago, thyrex said:

Это драйвер от AVZ

Спасибо большое за помощь!  где тут отзыв оставить можно в ваш адрес ?

[SQ]

Для исправления выполните следующее в AVZ:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ. 

 

Чтобы удалить службу Transmission и его файлы выполните следующее:

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   CloseProcesses:
   R2 Transmission; C:\Program Files (x86)\Transmission\transmission-qt.exe [1558232 2021-06-27] (SignPath Foundation -> Transmission Project)
   C:\Program Files (x86)\Transmission
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

[Вадим я]

32 minutes ago, SQ said:

Для исправления выполните следующее в AVZ:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ. 

 

Чтобы удалить службу Transmission и его файлы выполните следующее:

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Выделите следующий код::

   
   
   Start::
   CreateRestorePoint:
   CloseProcesses:
   R2 Transmission; C:\Program Files (x86)\Transmission\transmission-qt.exe [1558232 2021-06-27] (SignPath Foundation -> Transmission Project)
   C:\Program Files (x86)\Transmission
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

 

Fixlog.txt

 мйнера нет, можно считать что все в норме ? не подскажете источник, данного майнера- в папке kcgo calc  если он был значит это и есть исходная папка  распространения ??

Изменено 2 июля, 2021 пользователем Вадим я

[SQ]

Скорее всего майнер поставлялся с программой Transmission более подробных деталей мне не известно.

 

Если вам неизвестен каталог, то удалите его.

C:\ProgramData\CSGOCalc

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   CloseProcesses:
   Tcpip\..\Interfaces\{0cc1e42b-1077-40c7-b0f5-068931ac39e9}: [NameServer] 178.175.133.58,37.1.207.126
   Tcpip\..\Interfaces\{d7d2715d-3fef-4444-b200-678fb39debef}: [NameServer] 178.175.133.58,37.1.207.126
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

 

 

 

Завершающие шаги:

 

1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

 

Не забудьте пожалуйста выполнить инструкции по очистке днс-сервера перед завершающими шагами.

Спасибо.

[Вадим я]

On 03.07.2021 at 06:24, SQ said:

Скорее всего майнер поставлялся с программой Transmission более подробных деталей мне не известно.

 

Если вам неизвестен каталог, то удалите его.

C:\ProgramData\CSGOCalc

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Выделите следующий код::

   
   
   Start::
   CreateRestorePoint:
   CloseProcesses:
   Tcpip\..\Interfaces\{0cc1e42b-1077-40c7-b0f5-068931ac39e9}: [NameServer] 178.175.133.58,37.1.207.126
   Tcpip\..\Interfaces\{d7d2715d-3fef-4444-b200-678fb39debef}: [NameServer] 178.175.133.58,37.1.207.126
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

 

 

 

Завершающие шаги:

 

1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

 

Не забудьте пожалуйста выполнить инструкции по очистке днс-сервера перед завершающими шагами.

Спасибо.

А не подскажете где найти инфу о очистке днс сервера? я не в курсе.

Огромное спасибо за проделанную работу!!

Изменено 4 июля, 2021 пользователем Вадим я

[SQ]

1 hour ago, Вадим я said:

А не подскажете где найти инфу о очистке днс сервера? я не в курсе.

Вот это:

 

 

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   CloseProcesses:
   Tcpip\..\Interfaces\{0cc1e42b-1077-40c7-b0f5-068931ac39e9}: [NameServer] 178.175.133.58,37.1.207.126
   Tcpip\..\Interfaces\{d7d2715d-3fef-4444-b200-678fb39debef}: [NameServer] 178.175.133.58,37.1.207.126
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

[Вадим я]

23 minutes ago, SQ said:

Вот это:

 

 

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Выделите следующий код::

   
   Start::
   CreateRestorePoint:
   CloseProcesses:
   Tcpip\..\Interfaces\{0cc1e42b-1077-40c7-b0f5-068931ac39e9}: [NameServer] 178.175.133.58,37.1.207.126
   Tcpip\..\Interfaces\{d7d2715d-3fef-4444-b200-678fb39debef}: [NameServer] 178.175.133.58,37.1.207.126
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

Вот лог. 

SecurityCheck.txt