Как удалить Trojan.Win64.Miner.gen

[УФНС]

На сервере появилась угроза miner.gen. Касперский не удаляет его и не помещает на карантин. Необходима помощь в удалении вирусна.

CollectionLog-2022.10.10-14.41.zip

[Sandor]

Здравствуйте!

 

Деинсталлируйте нежелательное ПО:

Цитата

NetShield Kit 1.3.30.0

 

Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{03C54179-16EF-4E64-AA22-22EA8359E5FA}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{065f0c42-703a-11de-9954-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{03C54179-16EF-4E64-AA22-22EA8359E5FA}: [NameServer] = 37.59.58.122
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{065f0c42-703a-11de-9954-806e6f6e6963}: [NameServer] = 37.59.58.122
O22 - Tasks: {E59672D3-8143-4507-9A72-91EBF76A30A2} - C:\Users\tarabanchuk\Desktop\OODefrag_x32\OODefragPortable.exe (file missing)
O22 - Tasks: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Tasks: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Tasks: NetShield Kit scheduled Autoupdate - C:\Program Files (x86)\NetShield Kit\cli.exe -self-upgrade (file missing)
O22 - Tasks: NetShield Kit Self Repair - C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe -repair
O22 - Tasks: UpdaterProBrowsers - C:\Users\2900_user_fku\AppData\Local\UpdaterProBrowsers\UpdaterProBrowsers.exe --s=39AA0AD16191B883884D05B6936DD827C0BF7BA7880C3BC572165AC35A07981D16D527B0910FEF994EE3F63083 --id=1 --sub-id=237 (file missing)
O22 - Tasks: VKDJ - C:\ProgramData\VКDJ\VКDJ.exe /H (file missing)
O26 - Tools: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\cleanuppath (default) = (no file)

 

Перезагрузите компьютер.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[УФНС]

CollectionLog-2022.10.10-16.58.zip

[regist]

"Пофиксите" в HijackThis:

R0 - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)

 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

[УФНС]

AdwCleaner[S00].txt sfcdoc.log

[Sandor]

1. 

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[УФНС]

FRST.txt Shortcut.txt Addition.txt AdwCleaner[S02].txt

[Sandor]

11.10.2022 в 11:47, Sandor сказал:

(Обратите внимание - C и S - это разные буквы)

Не обратили внимания

[Sandor]

Из восьми учётных записей системы пять обладают правами администратора.

 

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  Task: {563C2281-A1CA-4AEF-873F-188F3D5C0332} - \Pbrowserupd -> Нет файла <==== ВНИМАНИЕ
  FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\local-settings.js [2019-11-29] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
  FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\umbrella.cfg [2020-05-21] <==== ВНИМАНИЕ
  S4 Transmission; C:\Program Files (x86)\Transmission\transmission-daemon.exe [1558232 2020-05-22] (SignPath Foundation -> Transmission Project)
  2022-09-20 19:32 - 2020-12-07 08:57 - 000000000 ____D C:\Program Files (x86)\Transmission
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  URLSearchHook: HKU\S-1-5-21-3569443666-983920253-4001241503-1007 - (Нет имени) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - Нет файла
  URLSearchHook: HKU\S-1-5-21-3569443666-983920253-4001241503-1008 - (Нет имени) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - Нет файла
  FirewallRules: [{7D99CF5A-F163-443B-B8D5-F0CDF4715FE6}] => (Allow) C:\Windows\Temp\127\SmartFix\wget.exe => Нет файла
  NetShield Kit 1.3.30.0 (HKLM-x32\...\{3d56d162-56c0-4514-a698-2ef8b7c0327a}) (Version: 1.3.30.0 - Sigma Software) Hidden
  FirewallRules: [{9D278A9F-789F-4316-868C-A06E830F90F1}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => Нет файла
  FirewallRules: [{6B52ED59-CE7A-4BA7-8CB0-8EF69BA7E7DA}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => Нет файла
  FirewallRules: [{E1B357A7-6628-4573-AF6D-35C890B4487A}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => Нет файла
  FirewallRules: [{799748C6-D783-462D-94EF-DDE691641327}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => Нет файла
  FirewallRules: [{4E6505AC-16A9-4C7E-8A67-93405CE983EC}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project)
  FirewallRules: [{0D738DEA-985B-4BE9-917E-8DFC44B856F3}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project)
  FirewallRules: [{9C49D298-8E92-4799-884F-A26566D15A54}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe (SignPath Foundation -> Transmission Project)
  FirewallRules: [{C74CFEC7-67DF-4040-B7DD-3BA95FF44C5E}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe (SignPath Foundation -> Transmission Project)
  FirewallRules: [{C39B6D57-42F0-4B54-848E-3B5C8348C033}] => (Allow) LPort=1346
  FirewallRules: [{3E2C75E5-4C6E-4F15-85B1-42FC41581E06}] => (Allow) LPort=1344
  FirewallRules: [{047F4EF2-55F2-426E-9308-CE154D98884D}] => (Allow) LPort=1345
  FirewallRules: [{4D27DC46-DFB1-4845-920A-D2A64014AB2B}] => (Allow) LPort=1347
  FirewallRules: [{5C7F536B-72B6-41D6-AF5C-DFD191977D3F}] => (Allow) LPort=135
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится скрытая ранее

Цитата

NetShield Kit 1.3.30.0

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

Если программу

Цитата

Chromium-Gost

не самостоятельно ставили, тоже удалите.

Изменено 12 октября, 2022 пользователем Sandor
Ручная перезагрузка, поправил шаблон

[УФНС]

Fixlog.txt

[Sandor]

11.10.2022 в 11:47, Sandor сказал:

Обратите внимание - C и S - это разные буквы

 

21 час назад, Sandor сказал:

Не обратили внимания

Покажите всё-таки лог очистки AdwCleaner.

 

Скрипт отработал успешно. Что сейчас с проблемой?

[УФНС]

проблема актуальна. вирус miner Flock.exe все еще определяется. лог направлю позднее

[Sandor]

21 час назад, Sandor сказал:

В перечне установленных программ появится скрытая ранее

Цитата

NetShield Kit 1.3.30.0

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

Это удалили?

[УФНС]

NetShield Kit 1.3.30.0 удален

AdwCleaner[C03].txt AdwCleaner[S03].txt

[Sandor]

Сделаем дополнительную проверку.

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.