Перейти к содержанию
Правила раздела
Задай вопрос Александру Ильину!

[РЕШЕНО] Trojan:Win64/DisguisedXMRigMiner

77777

Автор 77777,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

77777

77777 0

Опубликовано
Опубликовано (изменено)

Защитник виндовс понятное дело удалять отказывается, действие "удалить" ничего не происходит

Обнаружено: Trojan:Win64/DisguisedXMRigMiner

Состояние: Активно

 

Касперский и докторвеб - ничего не находят

 

 

CollectionLog-2023.06.28-15.47.zip

FRST.txt Addition.txt

Изменено пользователем 77777
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 077

Опубликовано
Опубликовано

Здравствуйте.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 077

Опубликовано
Опубликовано (изменено)

Учетную запись SERVICE сами создавали с правами администратора? 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt  в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
virustotal: C:\Program Files\Windows Sidebar\sidebar.exe
ShortcutTarget: WhatsApp (2).lnk ->  (Нет файла)
C:\Users\SERVICE\AppData\Local\Yandex\YandexBrowser\Application\browser_proxy.exe
C:\Program Files (x86)\Microsoft\Edge\Application\msedge_proxy.exe
Startup: C:\Users\SERVICE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WhatsApp.lnk [2023-06-02]
ShortcutTarget: WhatsApp.lnk -> C:\Users\SERVICE\AppData\Local\Yandex\YandexBrowser\Application\browser_proxy.exe (YANDEX LLC -> YANDEX LLC)
Startup: C:\Users\МАСТЕР\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WhatsApp Web.lnk [2023-06-03]
ShortcutTarget: WhatsApp Web.lnk -> C:\Program Files (x86)\Microsoft\Edge\Application\msedge_proxy.exe (Microsoft Corporation -> Microsoft Corporation)
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKU\S-1-5-21-302858382-685834371-4025012356-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: C:\Windows\Tasks\GridinSoft Anti-Malware.job => C:\Program Files\GridinSoft Anti-Malware\gsam.exe
HKU\S-1-5-21-302858382-685834371-4025012356-1001\...\StartupApproved\StartupFolder: => "WhatsApp.lnk"
HKU\S-1-5-21-302858382-685834371-4025012356-1001\...\StartupApproved\StartupFolder: => "WA Business.lnk"
zip:C:\FRST\Quarantine



     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, прикрепите этот архив к сообщению. 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 077

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

        
    CreateRestorePoint:
RestoreQuarantine: C:\FRST\Quarantine\C\Users\SERVICE\AppData\Local\Yandex\YandexBrowser\Application\browser_proxy.exe.xBAD
RestoreQuarantine: C:\FRST\Quarantine\C\Program Files (x86)\Microsoft\Edge\Application\msedge_proxy.exe.xBAD
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 077

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Sosnych
      Майнер или еще что-то.
      От Sosnych
      Купил игровой ПК в DNS. В характеристиках было указано, что установленной операционной системы не будет, однако по факту оказалось, что стоит Windows 10. При простое идет нагрузка на процессор. Постоянно используется около 30% ОЗУ. Переустановка винды не помогает, при подключении в пк смартфона, заразил какой-то дрянью еще и его (поменялся интерфейс смартфона, в браузере всплывает реклама, постоянно включается блютуз). Также если раньше можно было легко выйти в Биос, то теперь почему-то долго включается монитор, и мышь с клавиатурой тоже подтупливают. Логи прилагаю (Винда "чистая" однако проблемы все также присутствуют).
      CollectionLog-2023.09.19-18.49.zip
    • Димогло
      Trojan.Multi.GenAutoran.a
      От Димогло
      Переустановка винды не помогает
      CollectionLog-2023.08.29-11.07.zip
    • kufzyy
      Дефендер ругается на powershell Trojan:MSIL/r77Rootkit.A!MTB
      От kufzyy
      Заметил что дефендер ругается на троян Trojan:MSIL/r77Rootkit.A!MTB, сканировал пк dr.web cureit, dr.web space. Оба ничего не показали, до этого ловил вирус, удалил через доктора, он не грузит систему, он абсолютно не мешает работе на компе, проверял много раз комп ничего абсолютно ничего не находилось, этот повершелл не разу не открывался во время работы тоесть он вообще даже не открывается, пустышка на которую дефендер ругается и удаляет, точку восстановление делать не буду,  при каждом запуске пк он его находит и удаляет
    • Cardi
      Подскажите, пожалуйста, как удалить вирус heur:Trojan.Win32.Miner.gen?
      От Cardi
      Подскажите, пожалуйста, как удалить вирус HEUR:Trojan.Win32.Miner.gen?
      При запуске KVRT или dr web Curlet, обнаруживается вирус, но после перезагрузки все возвращается обратно. Также пробовал загружать из безопасного режима, ничего не меняется. 

    • Alysona
      Вирус-майнер, не устанавливается антивирус
      От Alysona
      Каким-то образом на совершенно новом компе поймала майнер. Либо при активации винды через KMS Auto, либо вероятнее при установке драйверов (Win Defender нашел Realtek HD, который маскируется под звуковую карту?).
      Изначально самопроизвольно закрывалась папка Program Data, файл hosts, браузер при попытке захода на сайты антивирусов или с описаниями вирусов. Через безопасный режим установила Kaspersky Virus Removal Tool и через него удалила вирусы.
      После еще прогоняла DrWeb'ом и другими утилитами, тоже что-то удалили. Попробовала поставить Аваст, но он не устанавливается, выдает "ошибку 5 отказано в доступе" и Ошибка 5 ae_unknown.
      Прилагаю логи с FRST и скан с Касперского
       
       

      FRST.zip
×
×
  • Создать...