HEUR.Trojan.Win64.Miner.gen не удаётся удалить с компьютера.

[saprosku]

Уже несколько дней не удаётся удалить вирус HEUR.Trojan.Win64.Miner.gen.

Kaspersky Premium выдаёт сообщение о вирусе, предлагает лечить с перезагрузкой:

 

"HEUR.Trojan.Win64.Miner.gen
Кто-то пытается использовать ресурсы вашего компьютера для майнинга
 криптовалюты
Объект:C:\ProgramData\StreamPartner-46944c2b-3dc6-
433f-a30f-d8f5ed2d0287\StreamPartner.exe:

 

После перезагрузки через некоторое время заражённый файл вновь появляется. Это уже повторяется больше 10 раз.

 

ОС Windows 7. 64 бит

Очевидно, антивирус только удаляет заражённый файл StreamPartner.exe, но причина заражения не устраняется .

До этого несколько дней назад была аналогичная ситуация с другими файлами: 

1)ПРОЦЕСС Сервер регистрации Microsoft запускает файл  с:Windows\System32\regsvr32.exe 
2)ПРОЦЕСС grep запускает файл  с:Windows\System32\find.exe
3)ПРОЦЕСС com surrogate запускает файл   с:Windows\System32\dllhost.exe

Эти процессы грузили память ОЗУ почти до 100%.
Одни процессы и файлы exe удалял, вместо них появлялись другие и грузили систему.
Но теперь постоянно появляется StreamPartner.exe, Каперский или я сам удаляю его, но через некоторое время появляется вновь.  Удаляю только через Unlocker, иначе файл не доступен для удаления. 

 

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[saprosku]

2 часа назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

 

CollectionLog-2023.10.18-23.23.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('WinRing0_1_2_0');
 DeleteService('luminati_net_updater_win_mediaget_com');
 QuarantineFile('c:\windows\System32\mobsync.dll','');
 TerminateProcessByName('c:\program files\wproxy\winproxy\winproxy.exe');
 DeleteFile('c:\program files\wproxy\winproxy\winproxy.exe','32');
 DeleteFile('c:\windows\System32\mobsync.dll','32');
 DeleteFile('C:\Users\sapro\AppData\Local\Temp\tmp336B.tmp','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_b27b56\Parameters','ServiceDll','x64');
 DeleteSchedulerTask('prison-praise');
 DeleteFile('C:\ProgramData\presidential-poems\bin.exe','64');
 DeleteSchedulerTask('WProxy\WinProxy');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[saprosku]

12 часов назад, Mark D. Pearlstone сказал:

 

 

Отправил quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина .

Имя карантина  2023.10.19_quarantine_6e774579c0ac1ba37bab6faf386881de.7z

CollectionLog-2023.10.19-09.02.zip report1.log report2.log

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[saprosku]

FRST_add.7z

[thyrex]

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {5DDF24B3-03A0-4222-91E9-97EBEA9A56DD} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1094\service_update.exe  --repair (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> cdn
C:\Users\sapro\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc
C:\Users\sapro\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\sapro\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbbidhfplpegemhlbcfboalcjdmgebap
C:\Users\sapro\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
C:\Users\sapro\AppData\Roaming\Opera Software\Opera Stable\Extensions\idimnjcjkopkcbalclocjcbcmkkcfpec
C:\Users\sapro\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
2023-10-17 10:01 - 2023-10-19 13:10 - 000000000 ____D C:\Program Files (x86)\LghePSNudlUn
2023-10-17 10:01 - 2023-10-17 16:27 - 000000000 ____D C:\Program Files (x86)\VxzYspXQVMvzC
2023-10-17 10:01 - 2023-10-17 16:27 - 000000000 ____D C:\Program Files (x86)\QOmHVbmVnemU2
2023-10-17 10:01 - 2023-10-17 16:27 - 000000000 ____D C:\Program Files (x86)\iKSJxVHdU
2023-10-17 10:01 - 2023-10-17 14:48 - 000000000 ____D C:\ProgramData\XYotSLhcUERJfNVB
2023-10-17 10:01 - 2023-10-17 14:48 - 000000000 ____D C:\Program Files (x86)\JdihLrIMsQRROpFKlxR
Folder: C:\Program Files\WProxy
Folder: C:\ProgramData\StreamPartner-46944c2b-3dc6-433f-a30f-d8f5ed2d0287
C:\Program Files\WProxy
C:\ProgramData\StreamPartner-46944c2b-3dc6-433f-a30f-d8f5ed2d0287
AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-3428302408-2517803122-4270536362-1001\...\{c7aa2a69-8c7c-401c-ab27-b4434b569b41}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
FirewallRules: [{9E04D4FF-6294-42A8-8868-41C666CCFDDD}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => Нет файла
FirewallRules: [TCP Query User{EE2489D3-ABDF-4AB0-9CBD-AEA252FEA310}C:\users\sapro\appdata\local\televzr_light\televzr light.exe] => (Allow) C:\users\sapro\appdata\local\televzr_light\televzr light.exe => Нет файла
FirewallRules: [UDP Query User{96BE41E4-C0F5-4F4B-A2B0-2ECBD2BD01CB}C:\users\sapro\appdata\local\televzr_light\televzr light.exe] => (Allow) C:\users\sapro\appdata\local\televzr_light\televzr light.exe => Нет файла
FirewallRules: [TCP Query User{BDA9B4CE-C9F9-4EEC-8792-8C10B958F9D3}C:\users\sapro\downloads\kdenlive-21.12.0_standalone\bin\kdenlive.exe] => (Allow) C:\users\sapro\downloads\kdenlive-21.12.0_standalone\bin\kdenlive.exe => Нет файла
FirewallRules: [UDP Query User{7CA2A674-9328-4128-B1AF-DA93BCE48F30}C:\users\sapro\downloads\kdenlive-21.12.0_standalone\bin\kdenlive.exe] => (Allow) C:\users\sapro\downloads\kdenlive-21.12.0_standalone\bin\kdenlive.exe => Нет файла
FirewallRules: [TCP Query User{681CFB1F-9950-453F-AC4F-BE107D89E618}C:\users\sapro\appdata\roaming\lantern\lantern.exe] => (Allow) C:\users\sapro\appdata\roaming\lantern\lantern.exe => Нет файла
FirewallRules: [UDP Query User{7D27AEE8-9D9F-4772-9CB1-68173DCADFB3}C:\users\sapro\appdata\roaming\lantern\lantern.exe] => (Allow) C:\users\sapro\appdata\roaming\lantern\lantern.exe => Нет файла
FirewallRules: [{FED88F70-6C5D-4358-A878-CE5A61357E89}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{518DEF39-B4C6-402C-A5E7-863A86F3C222}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{3285FB81-1B43-466F-9D12-50FF061219F0}] => (Allow) 㩃啜敳獲獜灡潲䅜灰慄慴剜慯業杮瑜捯㕜印剏攮數 => Нет файла
FirewallRules: [{EA466AC7-AA83-470A-A5B4-0BEE64E25D70}] => (Allow) 㩃啜敳獲獜灡潲䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{1A15683C-1D3B-4692-846A-9C7BA7285931}] => (Allow) 㩃啜敳獲獜灡潲䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{3257A1D6-E474-463E-93A0-F0369311EAFC}] => (Allow) 㩃啜敳獲獜灡潲䅜灰慄慴剜慯業杮瑜捯ㅜ㉹⹖硥e => Нет файла
FirewallRules: [{1DCC516B-BF8C-4990-AA29-081D05653A8D}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{32F5D0EC-5FB7-4BFC-88CB-D19C1071D5F6}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[saprosku]

AV_block_remove_2023.10.19-21.08.log Fixlog.txt

[thyrex]

Проблема решена?

[saprosku]

2 часа назад, thyrex сказал:

Проблема решена?

Похоже решена. После перезагрузок сейчас вирусный файл не появляется. Касперский не обнаруживает ничего. Завтра проверю полной проверкой Касперским. Спасибо за помощь!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[saprosku]

SecurityCheck.txt

 

Сегодня полная проверка компьютера Касперским вирусов не обнаружила, но выявлены некоторые подозрительные объекты.

Например

1)  not-a-virus:WebToolbar.Win32.Asparnet.dnq
Точность: Точно
Степень угрозы: Низкая
Тип объекта: Файл
Имя объекта: data0004
Путь к объекту: H:\1\UTIL\Auslogics Disk Defrag setup.exe//

 Описание результата: Обнаружено
Тип: Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя

----

Это дефрагментатор файлов, который я иногда использую. Следует ли удалять его и скачивать новый? Или Касперский в принципе к таким программам настроен отрицательно?

 

2) Тип: Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
Название: not-a-virus:HEUR:Downloader.Win32.UBar.gen
Точность: Эвристический анализ
Степень угрозы: Низкая
Тип объекта: Файл
Имя объекта: WIAdriver3000F.EXE-144692.exe
Путь к объекту: G:\Копия с флешки\DRIVER\Сканер canon F916000

----

Это драйверы сканера

 

3)Результат: Не обработано
Описание результата: Не обработано
Тип: Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
Название: not-a-virus:RiskTool.Win32.HideExec.bc
Точность: Точно
Степень угрозы: Низкая
Тип объекта: Файл
Имя объекта: data0670
Путь к объекту: G:\Копия с флешки\bicw_6.exe//

-----

Это программа Билайна для настройки подключения Интернета

 

4)Описание результата: Не обработано
Тип: Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя
Название: not-a-virus:HEUR:Downloader.Win32.LMN.gen
Точность: Эвристический анализ
Степень угрозы: Низкая
Тип объекта: Файл
Имя объекта: Skype_5.0.0.152_Rus_Full_Setup.exe
Путь к объекту: F:\UTIL\Skype\Skype 5.0

---

Установщик Скайпа.

 

5)Результат: Повреждено
Описание результата: Повреждено
Тип объекта: Файл
Имя объекта: browser.dll.sig
Путь к объекту: C:\Users\sapro\AppData\Local\Yandex\YandexBrowser\Application\23.9.2.888\Installer\browser.7z//Browser-bin/23.9.2.888

 

 

6) Есть также такие другие объекты с сообщениями; ошибки обработки, защищено паролем, повреждено, 

---------------------------------

Что с ними делать?  Или пока не обращать внимания?

 

[thyrex]

Вообще необращать внимания.

 

Цитата

--------------------------- [ OtherUtilities ] ----------------------------

OpenOffice 4.1.13 Language Pack (Russian) v.4.113.9810 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
WhatsApp v.2.2134.10 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.23.9.2.888 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.17 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
MediaGet v.3.01.4311 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
AdBlock Shield 1.0.0.0 v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
VideoAdsBlocker v.2.0.0.2669 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
JDownloader 2 v.2.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Vkontakte DJ v.3.002 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Auslogics Disk Defrag v.version 3.3 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

по возможности исправьте указанное (нежелательные программы просто удалите через Установку программ или принудительно с помощью Geek Uninstaller, сканирование в МВАМ можно не выполнять), и на этом закончим