Перейти к содержанию
Правила раздела
Встреча клуба на Новогодней ярмарке

[РЕШЕНО] Поймал Trojan.Win64.Miner.gen

Canbu

Автор Canbu,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

  • Ответов 39
  • Created
  • Последний ответ

Top Posters In This Topic

  • Canbu

    20

  • thyrex

    14

  • Sandor

    5

  • akoK

    1

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Sandor

Здравствуйте!   Прочтите и выполните Порядок оформления запроса о помощи Новую тему не создавайте, продолжаем здесь.

Canbu

Да, утилита отработала до конца.  HiJackThis_debug.log к сожалению не могу скинуть больше 5 МБ   HiJackThis.log   HiJackThis_debug.log.rar       по сути ничего не работае

Posted Images

Sandor

Sandor 1 201

Опубликовано
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему не создавайте, продолжаем здесь.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано

До запуска Автологера антивирус отключали?

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Canbu

Canbu 0

Опубликовано
  • Автор
Опубликовано

Да, перед запуском отключил антивирус Kaspersky. Возможно не отключил встроенную защиту от Windows 10. 

FRST.txt Addition.txt

 

Здравствуйте, извините, забыл поздороваться😓

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
VirusTotal: C:\Program Files\WProxy\WinProxy\WinProxy.exe
File: C:\Program Files\WProxy\WinProxy\WinProxy.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {A5174D0B-901F-4993-946E-7AA6406D6C1B} - \AdLock Update Task-S-1-5-21-959161372-2168236279-2063342856-1002 -> Нет файла <==== ВНИМАНИЕ
Task: {E3E909B1-FEDB-4368-B296-CEFE513541B2} - System32\Tasks\bwTHWzzgXNJrpXOnNU => C:\Users\Дом\AppData\Local\Temp\ezmUAeFZldwyqXBUH\pkStbxRztVoXlPl\WlqkOfg.exe  ZF /MXsite_idGhk 690689 /S (Нет файла) <==== ВНИМАНИЕ
Task: {DE6686E7-D3F3-4715-A9D7-C87DA1260C9D} - System32\Tasks\pKffSBSDmQsxgXRcO => C:\WINDOWS\Temp\ShzyXHEuRGIdOkcN\fatAMXrlPdIzOXq\WekrwPM.exe  QN /dgsite_idOIb 690689 /S (Нет файла) <==== ВНИМАНИЕ
Task: {A79AAFF1-DDB4-49E5-B756-14D789FDB16D} - System32\Tasks\possibly-province => C:\ProgramData\poultry-posters\bin.exe  /H (Нет файла)
Task: C:\WINDOWS\Tasks\bwTHWzzgXNJrpXOnNU.job => C:\Users\Дом\AppData\Local\Temp\ezmUAeFZldwyqXBUH\pkStbxRztVoXlPl\WlqkOfg.exe <==== ВНИМАНИЕ
Task: C:\WINDOWS\Tasks\pKffSBSDmQsxgXRcO.job => C:\WINDOWS\Temp\ShzyXHEuRGIdOkcN\fatAMXrlPdIzOXq\WekrwPM.exe <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
CHR DefaultSearchURL: Default -> hxxp://mailtds.ru/?ref=7usw8&q={searchTerms}&do=search&subaction=search&subId=w10pro64alg
CHR DefaultSearchKeyword: Default -> mail.ru
C:\Users\Дом\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
CHR HKU\S-1-5-21-959161372-2168236279-2063342856-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
2023-09-30 04:17 - 2023-09-30 04:17 - 000000000 _RSHD C:\ProgramData\WindowsTask
2023-09-30 04:17 - 2023-09-30 04:17 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2023-09-30 04:17 - 2023-09-30 04:17 - 000000000 _RSHD C:\ProgramData\Setup
2023-09-30 04:17 - 2023-09-30 04:17 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2023-09-30 04:17 - 2023-09-30 04:17 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2023-09-30 04:17 - 2023-09-30 04:17 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2023-09-30 04:17 - 2023-09-30 04:17 - 000000000 _RSHD C:\Program Files (x86)\360
AV: 360 Total Security (Disabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-959161372-2168236279-2063342856-1002\...\{efc191b7-49e5-4ab7-b93b-81108abbff59}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5910]
AlternateDataStreams: C:\Users\Дом\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Дом\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{A42D8654-5228-40D3-B2E9-62BFCC3D65B1}] => (Allow) 㩃啜敳獲쑜䅜灰慄慴剜慯業杮瑜捯䉜㈷祬攮數 => Нет файла
FirewallRules: [{139F3AAF-DB3B-45CE-9BD9-31459FCB8350}] => (Allow) 㩃啜敳獲쑜䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{6A4D77F1-A3C8-440A-B44F-BCA3B6F38956}] => (Allow) 㩃啜敳獲쑜䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{9B96FE83-BE87-451A-84C0-476C52AFAE54}] => (Allow) 㩃啜敳獲쑜䅜灰慄慴剜慯業杮瑜捯噜異⹋硥e => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится скрытая ранее

Цитата

AdBlock Shield 1.0.0.0


Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

Стандартно удалите устаревший
 

Цитата

 

Adobe Flash Player 24 NPAPI

Adobe Flash Player 24 PPAPI

 

 

Ссылка на сообщение
Поделиться на другие сайты
akoK

akoK 138

Опубликовано
Опубликовано

++++

- из папки AutoLogger\HiJackThis запустите файл HiJackThis.exe, нажмите "Do a system scan and save a log file"
 - сообщите, отработала ли утилита до конца, или автоматически закрылась (крашнулась)?
 - приложите логи HiJackThis.log и HiJackThis_debug.log если появились.

Ссылка на сообщение
Поделиться на другие сайты
Canbu

Canbu 0

Опубликовано
  • Автор
Опубликовано

Да, утилита отработала до конца.  HiJackThis_debug.log к сожалению не могу скинуть больше 5 МБ

 

HiJackThis.log

 

HiJackThis_debug.log.rar

 

image.thumb.png.5db5de77f2b6f9ee58c67ef79e0f0fb2.png    по сути ничего не работает, а процессор на всю работает

 

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Canbu

Canbu 0

Опубликовано
  • Автор
Опубликовано

Ноутбук сильно греется, по сути включен только браузер Опера. Включил сейчас анти-вирус Касперский, опять вылазит уведомление с Trojan.Win64.Miner.gen

Что только не пробовал. Все виды проверок в Касперском проходил, и с помощью DR Web пытался запустить проверку и удалить вирус. Вроде получалось, но после перезагрузки опять всплывало уведомление с этим вирусом, и ноутбук продолжал работать на полную катушку.
 Как вырубаю интернет соединение, то все хорошо.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано

Для верности сделайте это:

Скачайте AV block remover.
Распакуйте (в любую папку КРОМЕ папки Рабочий стол или папки Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 446

Опубликовано
Опубликовано

В Планировщике задач отключите задачу WinProxy.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
C:\ProgramData\FileFort-1b89542b-6488-4a28-84a0-9a4ce1c028db
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Соберите новые логи FRST.txt и Addition.txt.

 

C:\WINDOWS\SysWOW64\log206.dat заархивируйте с паролем malware123 и прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • misiyevich
      Неудаляемый Майнер HEUR:Trojan.Win64.Miner.gen c/ProgramData/MediaMasterPro
      От misiyevich
      Сегодня утром ни с того ни с сего ноут нагрелся на максимум, вентиляторы разогнались, а в процессах - нагрузки нет! В безопасном режиме запустил KVRT - нашел майнер. Удалил.
      Перезапуск компа - майнер на месте, процессор кипяток, в диспетчере задач - пусто (ничего необычного). Помогите пожалуйста!
    • azitch
      Майнер JOHN (закрывает страницы антивирусов, папки с автологами, нагружает память)
      От azitch
      Подхватил вирус. Возможный источник: торрент-файл. 
      – Загружает ЦП до 100%;
      – Не дает запускать антивирусы, сайты по аналогичной тематике;
      – Закрывает папку с автологом, даже с переименованным файлом (последняя версия, скачана из FAQ); 
       
      Характеристики системы: Выпуск  Windows 11 Домашняя для одного языка, Версия  22H2, 64-разрядная система 
       
    • Vladimir1
      HEUR:Trojan.Win64.Miner.gen DriveTuner.exe
      От Vladimir1
      Здравствуйте.
      По последним темам вижу много майнеров этих появилось, и тоже попал...
      Касперский антивирус находит DriveTuner.exe в скрытой папке в ProgramData , удаляет экзешник только, но он потом возвращается. Пробовал полностью удалить папку - тоже вернулась. Делал полную проверку Касперским, что-то нашел, удалил, но не помогло тоже.
       


      CollectionLog-2023.12.01-18.05.zip
    • flow
      Майнер и удалённый доступ
      От flow
      Здравствуйте, поймал Майнер, обнаружил когда увидел нового пользователя John, AVbr скачать не удалось, просто не пускает на сайт, а FRST скачал, логи ниже. Что можно сделать, чтобы избавиться от него?
       
       
       
      Downloads.zip
    • kurosakichel
      Вирус-майнер в powershell.exe
      От kurosakichel
      Всем привет! Связался с такой проблемой, что скачал давным-давно вирус с майнером, который как я понял за некоторое время вшился в мой биос. Когда я убедился, что на моем компьютере есть майнер по двум признакам. Это когда с закрытым диспетчером задач вентиляторы в компьютере начинают шуметь и компьютер загружается на 60-70%, а когда я открываю диспетчер задач вентиляторы утихают и резко с 70% загруженности цп падает до низкого процента (10-30%). И еще один признак, когда мне посоветовали скачать антивирус Dr.Web он начал вечно блокировать приложение powershell.exe и тогда я понял, что благодаря нему майнер и сидит в моем компьютере и удалить его без посторонней помощи для меня - никак. Пробная подписка на Dr.Web истекла и я решился переустановить виндовс вновь с надеждой на везение, но увы, не помогло. Майнер так и остался в моем компьютере... Очень хочется удалить майнер без замены деталей в компьютере. Помогите пожалуйста!!
×
×
  • Создать...