Перейти к содержанию
Правила раздела

Подскажите, пожалуйста, как удалить вирус heur:Trojan.Win32.Miner.gen?

Cardi

Автор Cardi
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Cardi

Cardi

Опубликовано
Опубликовано (изменено)

Подскажите, пожалуйста, как удалить вирус HEUR:Trojan.Win32.Miner.gen?

При запуске KVRT или dr web Curlet, обнаруживается вирус, но после перезагрузки все возвращается обратно. Также пробовал загружать из безопасного режима, ничего не меняется. 

IMG_9083.jpeg

Изменено пользователем Cardi
Дополнение
Cardi

Cardi

Опубликовано
  • Автор
Опубликовано

Не получается установить сборщик логов. При запуске программы, она с ошибкой закрывается через 3 секунды.

thyrex

thyrex

Опубликовано
Опубликовано

Запускайте в безопасном режиме загрузки

  • Like (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (not signed)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D855B4E6-58D9-42A9-8C8D-3489979A25BF} - \Microsoft\Windows\Wininet\winsers (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F14FAB19-5324-435D-B76A-BB5661242B3A} - \Microsoft\Windows\Wininet\winser (no xml)
O22 - Tasks: \Microsoft\Windows\MasterDataD\jN8U8g33Kz - C:\Programdata\ReaItekHD\taskhost.exe (not signed)
O22 - Tasks: \Microsoft\Windows\MasterDataD\RecoveryHosts - C:\ProgramData\Microsoft\DRM\jN8U8g33Kz\MasterDataD.bat (not signed)
O22 - Tasks: \Microsoft\Windows\MasterDataD\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (not signed)
O22 - Tasks_Migrated: \Oem\GamePass4PCTask - C:\Program Files (x86)\Acer\GamePass4PC\GamePass4PC.exe /default (file missing)
O22 - Tasks_Migrated: AcerCMFirstRunTask2.1.20250 - C:\Program Files (x86)\Acer\Amundsen\2.1.20250\AWC.exe /firstrun (file missing)
O22 - Tasks_Migrated: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\20.3.1.253\service_update.exe --repair (file missing)
O22 - Tasks_Migrated: Системное обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\20.3.1.253\service_update.exe --run-as-launcher (file missing)

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
Task: {32F7083D-5349-4C9B-8A2F-55666F4413E2} - System32\Tasks\App Explorer => C:\Users\PC\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7574560 2023-03-29] (SweetLabs Inc -> SweetLabs, Inc) <==== ВНИМАНИЕ
C:\Users\PC\AppData\Local\Host App Service
2023-08-15 19:09 - 2023-08-15 19:09 - 000000000 __SHD C:\Users\PC\AppData\Roaming\Sysfiles
2023-08-15 19:09 - 2023-08-15 19:09 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-15 19:08 - 2023-08-15 19:08 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
2023-08-15 19:08 - 2023-08-15 19:08 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-15 19:08 - 2023-08-15 19:08 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-15 19:08 - 2023-08-15 19:08 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
Folder: C:\Program Files\CPUID
Folder: C:\Program Files (x86)\MSI
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

После скрипта

App Explorer

удалите через Установку программ или принудительно с помощью Geek Uninstaller

thyrex

thyrex

Опубликовано
Опубликовано

Я разве этот файл просил прислать? Читайте внимательно

Cardi

Cardi

Опубликовано
  • Автор
Опубликовано

Влияние вируса полностью пропало, но при сканировании в kvrt еще выдает сообщение о найденных вирусах

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • Gaspi
      trojan:win64/disguisedxmrigminer
      Автор Gaspi
      Защита винды нашла его но не может его удалить, как избавиться от него? trojan:win64/disguisedxmrigminer
    • ahahahxdd
      помощь в удалении Trojan[dropper]:Python/Wacatac.C9nj
      Автор ahahahxdd
      По дурости открыл данную вещь без виртуальной машины, через x64dbg:
      https://www.virustotal com/gui/file/e450b7efc8b429b618d2d22a074a3dd55c07b451eef315e0e20be7d9054ef18c
      https://cloud.mail ru/public/kbre/tjmmsWNDM

      CollectionLog-2026.01.06-20.25.zip
      Успел уже сделать откат в точку восстановления винды
      В сэндбоксе было подключение TCP 130.12.181.70:7000

       
    • Kirill_Pavlov
      Самовосстанавливающиеся после удаления с помощью KVRT: HEUR:Trojan.Multi.GenBadur.genw и HEUR:HackTool.VBS.KeySender.gen
      Автор Kirill_Pavlov
      Первый вирус обнаружен после скачивания игры F1_2022 (уже удалил) с сайта ***. Второй, предположительно, после того как скачал атомик харт (тоже уже удалил), но сайт не помню точно. Удаляю с помощью KVRT, а после перезагрузки они опять появляются. Второй файл пытался удалить вручную, но видимо что-то не то сделал). Заранее большое спасибо!
      CollectionLog-2025.12.27-10.13.zip
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте ссылки на варез
    • A11
      Trojan.Win64.Torero.b
      Автор A11
      Здравствуйте, есть ли у кого-нибудь информация об этом трояне?
×
×
  • Создать...