[РЕШЕНО] HEUR:Trojan.Win64.Miner.gen. Как удалить этот вирус?

[Дамир95]

Добрый день!

Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen

KIS его находит сразу при включении и просит Лечение с перезагрузкой. После перезагрузки компьютера, всё по новой.

Пробовал удалить вручную папку, которую указал KIS, но она восстанавливается.

Подскажите, что делать? Спасибо

CollectionLog-2023.04.14-09.56.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\progress-projected\bin.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Programs\asevcuk865\f05684ac77.msi', '');
 QuarantineFile('C:\Users\User\AppData\Local\Programs\Transmission\Qt5Core.dll', '');
 DeleteSchedulerTask('AdLock Update Task-S-1-5-21-2112519877-2639885420-2700997603-1001');
 DeleteSchedulerTask('preston-planned');
 DeleteFile('C:\ProgramData\progress-projected\bin.exe', '64');
 DeleteFile('C:\Users\User\AppData\Local\Programs\asevcuk865\f05684ac77.msi', '64');
 DeleteFile('C:\Users\User\AppData\Local\Programs\Transmission\Qt5Core.dll', '');
 DeleteFileMask('c:\users\user\appdata\local\programs\transmission', '*', false);
 DeleteDirectory('c:\users\user\appdata\local\programs\transmission');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Дамир95]

Выполнил скрипт и сделал отчеты.

После перезагрузки KIS, не показал вирус.

FRST.txt Addition.txt

 

7 часов назад, Sandor сказал:

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\progress-projected\bin.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Programs\asevcuk865\f05684ac77.msi', '');
 QuarantineFile('C:\Users\User\AppData\Local\Programs\Transmission\Qt5Core.dll', '');
 DeleteSchedulerTask('AdLock Update Task-S-1-5-21-2112519877-2639885420-2700997603-1001');
 DeleteSchedulerTask('preston-planned');
 DeleteFile('C:\ProgramData\progress-projected\bin.exe', '64');
 DeleteFile('C:\Users\User\AppData\Local\Programs\asevcuk865\f05684ac77.msi', '64');
 DeleteFile('C:\Users\User\AppData\Local\Programs\Transmission\Qt5Core.dll', '');
 DeleteFileMask('c:\users\user\appdata\local\programs\transmission', '*', false);
 DeleteDirectory('c:\users\user\appdata\local\programs\transmission');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Выше прикрепил отчёт
Хотел также уточнить насчёт этой папки, что с ней делать? KIS ранее указывал на неё

[Sandor]

Сейчас проверим.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Edge Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
  Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  Edge StartupUrls: Default -> "hxxps://go.microsoft.com/fwlink/?LinkId=625119&clcid=0x419","hxxps://find-it.pro/?utm_source=distr_m"
  Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  Edge DefaultSearchKeyword: Default -> cdn
  CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
  CHR StartupUrls: Default -> "hxxp://www.megapage.com/?aid=1&sid=3","hxxp://mail.ru/cnt/10445?gp=newcustom2","hxxps://find-it.pro/?utm_source=distr_m"
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\hkmfdialkjnljbcnincgpollobclebaf
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
  CHR HKU\S-1-5-21-2112519877-2639885420-2700997603-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  Folder:C:\ProgramData\RenderCraft-441585be-c077-411e-bc04-25ea24ddab20
  2023-04-13 18:21 - 2023-04-14 10:15 - 000000000 __SHD C:\ProgramData\RenderCraft-441585be-c077-411e-bc04-25ea24ddab20
  2023-04-09 13:01 - 2023-04-09 13:01 - 000000000 _RSHD C:\ProgramData\WindowsTask
  2023-04-09 13:01 - 2023-04-09 13:01 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
  2023-04-09 13:01 - 2023-04-09 13:01 - 000000000 _RSHD C:\ProgramData\Setup
  2023-04-09 13:01 - 2023-04-09 13:01 - 000000000 _RSHD C:\ProgramData\ReaItekHD
  2023-04-09 13:01 - 2023-04-09 13:01 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
  2023-04-09 13:01 - 2023-04-09 13:01 - 000000000 _RSHD C:\Program Files\RDP Wrapper
  2023-04-09 13:01 C:\Program Files\RDP Wrapper
  Ultimate Ad Eraser 1.0.0.0 (HKU\S-1-5-21-2112519877-2639885420-2700997603-1001\...\{cb4174fc-cd41-44a2-afb7-d8fe3a17fe71}) (Version: 1.0.0.0 - asevcuk865) Hidden
  AlternateDataStreams: C:\Users\User\Application Data:671890e017d8a4fb26004192461213ff [394]
  AlternateDataStreams: C:\Users\User\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:671890e017d8a4fb26004192461213ff [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
  AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится скрытая ранее

Ultimate Ad Eraser 1.0.0.0

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

[Дамир95]

54 минуты назад, Sandor сказал:

Сейчас проверим.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Edge Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
  Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  Edge StartupUrls: Default -> "hxxps://go.microsoft.com/fwlink/?LinkId=625119&clcid=0x419","hxxps://find-it.pro/?utm_source=distr_m"
  Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  Edge DefaultSearchKeyword: Default -> cdn
  CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
  CHR StartupUrls: Default -> "hxxp://www.megapage.com/?aid=1&sid=3","hxxp://mail.ru/cnt/10445?gp=newcustom2","hxxps://find-it.pro/?utm_source=distr_m"
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\hkmfdialkjnljbcnincgpollobclebaf
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
  CHR HKU\S-1-5-21-2112519877-2639885420-2700997603-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  Folder:C:\ProgramData\RenderCraft-441585be-c077-411e-bc04-25ea24ddab20
  2023-04-13 18:21 - 2023-04-14 10:15 - 000000000 __SHD C:\ProgramData\RenderCraft-441585be-c077-411e-bc04-25ea24ddab20
  2023-04-09 13:01 - 2023-04-09 13:01 - 000000000 _RSHD C:\ProgramData\WindowsTask
  2023-04-09 13:01 - 2023-04-09 13:01 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
  2023-04-09 13:01 - 2023-04-09 13:01 - 000000000 _RSHD C:\ProgramData\Setup
  2023-04-09 13:01 - 2023-04-09 13:01 - 000000000 _RSHD C:\ProgramData\ReaItekHD
  2023-04-09 13:01 - 2023-04-09 13:01 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
  2023-04-09 13:01 - 2023-04-09 13:01 - 000000000 _RSHD C:\Program Files\RDP Wrapper
  2023-04-09 13:01 C:\Program Files\RDP Wrapper
  Ultimate Ad Eraser 1.0.0.0 (HKU\S-1-5-21-2112519877-2639885420-2700997603-1001\...\{cb4174fc-cd41-44a2-afb7-d8fe3a17fe71}) (Version: 1.0.0.0 - asevcuk865) Hidden
  AlternateDataStreams: C:\Users\User\Application Data:671890e017d8a4fb26004192461213ff [394]
  AlternateDataStreams: C:\Users\User\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:671890e017d8a4fb26004192461213ff [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
  AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится скрытая ранее

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

Спасибо, папка пропала.

Fixlog.txt

[Sandor]

Зачем же вы дважды выполняли скрипт?

 

Видны были хвосты известного майнера, на всякий случай сделайте это:

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

[Дамир95]

16 минут назад, Sandor сказал:

Зачем же вы дважды выполняли скрипт?

 

Видны были хвосты известного майнера, на всякий случай сделайте это:

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

В первый раз запустил без выделенного текста)
Вот отчёт от AV block remover

AV_block_remove_2023.04.14-13.38.log

[Sandor]

Хорошо. Проблема решена?

[Дамир95]

1 минуту назад, Sandor сказал:

Хорошо. Проблема решена?

Да. Спасибо большое.

[Sandor]

Отлично! В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Дамир95]

20 минут назад, Sandor сказал:

Отлично! В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

Перезагрузил.
Вот файл от SecurityCheck

SecurityCheck.txt

[Sandor]

По возможности исправьте:

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.21.3.10.391 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC (64-bit) v.22.001.20085 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.111.0.5563.149 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Restoro v.2.1.0.5 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Читайте Рекомендации после удаления вредоносного ПО

[Дамир95]

17 минут назад, Sandor сказал:

По возможности исправьте:

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.21.3.10.391 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC (64-bit) v.22.001.20085 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.111.0.5563.149 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Restoro v.2.1.0.5 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Хорошо. Спасибо

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".