Перейти к содержанию

[РЕШЕНО] Поймал Trojan.Win64.Miner.gen


Рекомендуемые сообщения

Цитата

Запущено с помощью Дом (12-10-2023 21:33:58) Run:2

Зачем Вы скрипты лечения запускаете по 2 раза? Неужели так трудно выделить скрипт, запустить Farbar, дождаться выполнения скрипта и прислать лог?.. 

 


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
C:\Program Files\WProxy
2023-10-09 04:18 - 2023-10-09 04:18 - 001162691 _____ C:\WINDOWS\SysWOW64\log206.dat
FirewallRules: [{E868DED0-C46E-4DC9-8FDF-C9D39A41FE4E}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{61E18CCC-7FF7-42D0-B78E-934EFD090805}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [TCP Query User{BD378157-DABC-4971-8B23-F2944E8DE787}C:\program files (x86)\maple 7\bin.wnt\mserver.exe] => (Allow) C:\program files (x86)\maple 7\bin.wnt\mserver.exe => Нет файла
FirewallRules: [UDP Query User{38DE7E5A-3392-4725-901D-22930E0F2A80}C:\program files (x86)\maple 7\bin.wnt\mserver.exe] => (Allow) C:\program files (x86)\maple 7\bin.wnt\mserver.exe => Нет файла
FirewallRules: [TCP Query User{5A410FBB-EBD1-4F09-98EA-DC2AEC25D2DC}C:\program files\arizona games launcher\bin\arizona\gta_sa.exe] => (Block) C:\program files\arizona games launcher\bin\arizona\gta_sa.exe => Нет файла
FirewallRules: [UDP Query User{2F57FDF9-72E0-4EED-8661-8CC3852291A9}C:\program files\arizona games launcher\bin\arizona\gta_sa.exe] => (Block) C:\program files\arizona games launcher\bin\arizona\gta_sa.exe => Нет файла
FirewallRules: [{C98F88F1-B309-4583-9204-0F22CA6BF325}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{833849F8-C790-4D37-9760-238FCD3BC114}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [TCP Query User{845F10D9-5FFB-4B5D-8196-4F01C018EDB8}C:\program files\arizona games launcher\bin\arizona\gta_sa.exe] => (Allow) C:\program files\arizona games launcher\bin\arizona\gta_sa.exe => Нет файла
FirewallRules: [UDP Query User{3F596D67-EC86-4309-AD0C-CFFC6636E934}C:\program files\arizona games launcher\bin\arizona\gta_sa.exe] => (Allow) C:\program files\arizona games launcher\bin\arizona\gta_sa.exe => Нет файла
FirewallRules: [{D9838ECA-24E8-4535-9568-5277A32D255B}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (WProxy) [Файл не подписан]
FirewallRules: [{1668FFA4-6911-446C-9B1A-84CFDE9DB79B}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (WProxy) [Файл не подписан]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на комментарий
Поделиться на другие сайты

Дубль 2

Цитата

Запущено с помощью Дом (12-10-2023 23:45:36) Run:2

 

22 минуты назад, thyrex сказал:

Зачем Вы скрипты лечения запускаете по 2 раза? Неужели так трудно выделить скрипт, запустить Farbar, дождаться выполнения скрипта и прислать лог?.. 

 

Ссылка на комментарий
Поделиться на другие сайты

Я компьютер включил, выключил Каспирский (защита отключена, просто убрал из панели), скопировал в буфер скрипт, запусти Farbar, нажал "исправить" . Компьютер перезагрузился, скинул текстовый документ с рабочего стола, больше ничего не делал 

Опять сделал все по пунктам, но в логе пишет Run:2. Видимо я дурак

Ссылка на комментарий
Поделиться на другие сайты

Вот в том-то и странность. Когда впервые выполняли скрипт, предложенный  Sandor на первой странице темы, там запускали его один раз :) А все мои выполняете по 2  раза, хотя инструкция идентичная фактически по выполняемым действиям.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
C:\Users\Дом\AppData\Local\Programs\ivanovsasha224
AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-959161372-2168236279-2063342856-1002\...\{efc191b7-49e5-4ab7-b93b-81108abbff59}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

После скрипта

 

Цитата

AdBlock Shield 1.0.0.0

удалите через Установку программ или принудительно с помощью Geek Uninstaller

 

Цитата

-------------------------- [ IMAndCollaborate ] ---------------------------


Discord v.1.0.9003 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java(TM) 6 Update 131 (64-bit) v.6.0.1310 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u381-windows-x64.exe - Windows Offline (64-bit)).
Java 7 Update 121 (64-bit) v.7.0.1210 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u381-windows-x64.exe - Windows Offline (64-bit)).
Java 8 Update 371 (64-bit) v.8.0.3710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
Java(TM) 6 Update 131 v.6.0.1310 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u381-windows-i586.exe - Windows Offline).
Java 7 Update 121 v.7.0.1210 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u381-windows-i586.exe - Windows Offline).
Java 8 Update 381 v.8.0.3810.9
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 PPAPI v.24.0.0.186 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

по возможности исправьте указанное, и на этом закончим.

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Ольга Кот
      Автор Ольга Кот
      Здравствуйте!
      Антивирус выявил вредоносные приложения (скрин прилагаю). Trojan и MEM:Backdoor.Win32.Insistent.gen.  Всегда ссылается на файл svchost.exe и еще может подтянуть другие. "Лечение с перезагрузкой" не помогает, пробовали руками удалять папки, но после перезагрузки все восстанавливается. Скорее всего подцепили эту заразу в 24.06 - 27.06, ноутбук периодически стал шуметь в спящем режиме и греться, майнингом не занимаемся. Просим оказать содействие в решении этих проблем. Скачала сразу программу для логов, прилагаю файл.

      CollectionLog-2025.07.01-15.08.zip
    • Shytnik
      Автор Shytnik
      Здравствуйте. В один момент перестало работать всё с ошибкой «Отказано в доступе». «Касперский» нашел этот вирус и вроде как успешно вылечил с перезагрузкой.
       
      После удаления автоматически запустилась проверка, которая по непонятным причинам сама по себе приостанавливалась три раза. Также по какой-то причине переставали грузиться на некоторое время сайты. Посчитал, что это какое-то подозрительное поведение, и отключил на всякий случай интернет. «Касперский» завершил сканирование и удалил еще кучу скриптов из папки браузера.
       
      В интернете нашел страницу на «Ответах» Mail.ru, где человек писал, что этот вирус после удаления «Касперским» «воскресает». Немного беспокоит эта перспектива, т. к. переустанавливать Windows не хочется. Можно как-то проверить, осталась ли эта гадость в системе?
      CollectionLog-2025.07.04-16.29.zip
    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • Ян Том
      Автор Ян Том
      Добрый день!
      Компьютер словил HEUR:Trojan.Win32.Miner.gen HEUR:Trojan.Multi.Runner.t. 
      Прогнал CureIt, и KVR, а также AutoLogger.
       
      Спасибо!
      CollectionLog-2025.04.09-21.33.zip
    • user344
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
×
×
  • Создать...