Перейти к содержанию

Как удалить Trojan.Win64.Miner.gen


УФНС

Рекомендуемые сообщения

На сервере появилась угроза miner.gen. Касперский не удаляет его и не помещает на карантин. Необходима помощь в удалении вирусна.

CollectionLog-2022.10.10-14.41.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Деинсталлируйте нежелательное ПО:

Цитата

NetShield Kit 1.3.30.0

 

Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{03C54179-16EF-4E64-AA22-22EA8359E5FA}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{065f0c42-703a-11de-9954-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{03C54179-16EF-4E64-AA22-22EA8359E5FA}: [NameServer] = 37.59.58.122
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{065f0c42-703a-11de-9954-806e6f6e6963}: [NameServer] = 37.59.58.122
O22 - Tasks: {E59672D3-8143-4507-9A72-91EBF76A30A2} - C:\Users\tarabanchuk\Desktop\OODefrag_x32\OODefragPortable.exe (file missing)
O22 - Tasks: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Tasks: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Tasks: NetShield Kit scheduled Autoupdate - C:\Program Files (x86)\NetShield Kit\cli.exe -self-upgrade (file missing)
O22 - Tasks: NetShield Kit Self Repair - C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe -repair
O22 - Tasks: UpdaterProBrowsers - C:\Users\2900_user_fku\AppData\Local\UpdaterProBrowsers\UpdaterProBrowsers.exe --s=39AA0AD16191B883884D05B6936DD827C0BF7BA7880C3BC572165AC35A07981D16D527B0910FEF994EE3F63083 --id=1 --sub-id=237 (file missing)
O22 - Tasks: VKDJ - C:\ProgramData\VКDJ\VКDJ.exe /H (file missing)
O26 - Tools: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\cleanuppath (default) = (no file)

 

Перезагрузите компьютер.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

"Пофиксите" в HijackThis:

R0 - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

Ссылка на комментарий
Поделиться на другие сайты

1. 

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Из восьми учётных записей системы пять обладают правами администратора.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Task: {563C2281-A1CA-4AEF-873F-188F3D5C0332} - \Pbrowserupd -> Нет файла <==== ВНИМАНИЕ
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\local-settings.js [2019-11-29] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\umbrella.cfg [2020-05-21] <==== ВНИМАНИЕ
    S4 Transmission; C:\Program Files (x86)\Transmission\transmission-daemon.exe [1558232 2020-05-22] (SignPath Foundation -> Transmission Project)
    2022-09-20 19:32 - 2020-12-07 08:57 - 000000000 ____D C:\Program Files (x86)\Transmission
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    URLSearchHook: HKU\S-1-5-21-3569443666-983920253-4001241503-1007 - (Нет имени) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - Нет файла
    URLSearchHook: HKU\S-1-5-21-3569443666-983920253-4001241503-1008 - (Нет имени) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - Нет файла
    FirewallRules: [{7D99CF5A-F163-443B-B8D5-F0CDF4715FE6}] => (Allow) C:\Windows\Temp\127\SmartFix\wget.exe => Нет файла
    NetShield Kit 1.3.30.0 (HKLM-x32\...\{3d56d162-56c0-4514-a698-2ef8b7c0327a}) (Version: 1.3.30.0 - Sigma Software) Hidden
    FirewallRules: [{9D278A9F-789F-4316-868C-A06E830F90F1}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => Нет файла
    FirewallRules: [{6B52ED59-CE7A-4BA7-8CB0-8EF69BA7E7DA}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => Нет файла
    FirewallRules: [{E1B357A7-6628-4573-AF6D-35C890B4487A}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => Нет файла
    FirewallRules: [{799748C6-D783-462D-94EF-DDE691641327}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => Нет файла
    FirewallRules: [{4E6505AC-16A9-4C7E-8A67-93405CE983EC}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project)
    FirewallRules: [{0D738DEA-985B-4BE9-917E-8DFC44B856F3}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project)
    FirewallRules: [{9C49D298-8E92-4799-884F-A26566D15A54}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project)
    FirewallRules: [{C74CFEC7-67DF-4040-B7DD-3BA95FF44C5E}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project)
    FirewallRules: [{C39B6D57-42F0-4B54-848E-3B5C8348C033}] => (Allow) LPort=1346
    FirewallRules: [{3E2C75E5-4C6E-4F15-85B1-42FC41581E06}] => (Allow) LPort=1344
    FirewallRules: [{047F4EF2-55F2-426E-9308-CE154D98884D}] => (Allow) LPort=1345
    FirewallRules: [{4D27DC46-DFB1-4845-920A-D2A64014AB2B}] => (Allow) LPort=1347
    FirewallRules: [{5C7F536B-72B6-41D6-AF5C-DFD191977D3F}] => (Allow) LPort=135
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится скрытая ранее

Цитата

NetShield Kit 1.3.30.0


Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

Если программу

Цитата

Chromium-Gost

не самостоятельно ставили, тоже удалите.

Изменено пользователем Sandor
Ручная перезагрузка, поправил шаблон
Ссылка на комментарий
Поделиться на другие сайты

11.10.2022 в 11:47, Sandor сказал:

Обратите внимание - C и S - это разные буквы

 

21 час назад, Sandor сказал:

Не обратили внимания

Покажите всё-таки лог очистки AdwCleaner.

 

Скрипт отработал успешно. Что сейчас с проблемой?

Ссылка на комментарий
Поделиться на другие сайты

21 час назад, Sandor сказал:

В перечне установленных программ появится скрытая ранее

Цитата

NetShield Kit 1.3.30.0


Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

Это удалили?

Ссылка на комментарий
Поделиться на другие сайты

Сделаем дополнительную проверку.

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ArtMuz
      От ArtMuz
      Здравствуйте, 
      После установки разных программ установился данный вирус. Пытался несколько раз вылечить, но после перезагрузки троян восстанавливается. Расположение: C:\ProgramData\VideoExpert-c0f6fd3a-9c9e-4948-9dca-21495ea22c37\ Логи прикреплены
      CollectionLog-2024.05.13-22.50.zip
    • Mausidze
      От Mausidze
      Недавно защитник обнаружил файл, который не может нормально удалить или просканировать, решил скачать Kaspersky Premium.
      Провёл несколько быстрых сканов, перезагрузок и полную проверку, но постоянно выдаёт при запуске, что удалённый HEUR:Trojan.Win64.Miner.gen вернулся
      Распознаёт, если пытаться вылечить без перезагрузки, как криптоджекинг
      Прикрепил отчёт программы
      otchet.txt
    • ApploDi
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • JunkZerg
      От JunkZerg
      Месяц назад по неосторожности установил троян и в тот же день быстрой и полной проверкой Касперского удалил все вредоносные файлы (как я считал по крайней мере). Сегодня вылезло два трояна, которые начали сильно грузить память и потому сразу заметил нагрузку. Один удалился без проблем, а HEUR:Trojan.Win64.Miner.gen после многих перезагрузок отказывается удаляться. Хотя бы вроде не работает. Также заметил, что последний или что-либо еще блокирует полную проверку компьютера антивирусом. Помогите пожалуйста удалить! 
    • Djkarpaccho
      От Djkarpaccho
      Добрый день, друзья.
       в этой теме многие мне стараются помочь в установке продукта kaspersky standart, но прогресс с 13% дошел до 20% и нее дает устанавливать, поскольку сидит в компьютере какой-то скрипт, который блокирует установку.
×
×
  • Создать...