я не могу удалить такой вирус "HEUR:Trojan.Win64.Miner.gen"

[SWAIZ]

"HEUR.Trojan.Win64.Miner.gen"

Объект:C:\ProgramData\MoviPro-11ec39aa-d2ba-4a5c-af86-b1c36cc46a0a

 

После перезагрузки через некоторое время заражённый файл вновь появляется. Это уже повторяется больше 10 раз.

 

ОС Windows 11. 64 бит

Очевидно, антивирус только удаляет заражённый файл MoviPro.exe, но причина заражения не устраняется .

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[SWAIZ]

"HEUR.Trojan.Win64.Miner.gen"

Объект:C:\ProgramData\MoviPro-11ec39aa-d2ba-4a5c-af86-b1c36cc46a0a

 

После перезагрузки через некоторое время заражённый файл вновь появляется. Это уже повторяется больше 10 раз.

 

ОС Windows 11. 64 бит

Очевидно, антивирус только удаляет заражённый файл MoviPro.exe, но причина заражения не устраняется .

В сведении диспетчере задач я нашел два процесса "с:Windows\System32\dllhost.exe" 1-ый который сильно грузил GPU а второй CPU до запуска диспетчера задач.

CollectionLog-2023.10.22-19.53.zip

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

[thyrex]

Вспоминайте, что скачивали и запускали перед появлением проблемы. Наверняка какой-нибудь репак игры с торрента.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[SWAIZ]

я вспомнил только о том что когда вирус начал работать "10.10.2023".

Desktop.7z

Изменено 22 октября, 2023 пользователем SWAIZ

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
ExportKey: HKLM\System\CurrentControlSet\Services\MobSyncBrokerSvc_9fbb9f
HKU\S-1-5-21-1066261849-1902755692-452529572-1001\...\Run: [YandexBrowserAutoLaunch_359E43767C1BFDADFAAB676785A1E526] => "C:\Users\user\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {13421081-CD32-46E7-BA6E-5C34B235BEAE} - System32\Tasks\!Kaspersky Setup Restricted => C:\WINDOWS\temp\42B6DF3063F6EE110A590B731508AE11\startup.exe  /-restricted_service (Нет файла) <==== ВНИМАНИЕ
Task: {E68B1E9A-EFE8-4724-A157-FF147125EF90} - System32\Tasks\Opera GX scheduled Autoupdate 1672503948 => C:\Users\user\AppData\Local\Programs\Opera GX\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
Task: {6749F5A8-60A6-4046-9A1C-FAA17C35D6AF} - System32\Tasks\Opera GX scheduled Autoupdate 1676978575 => C:\Users\user\AppData\Local\Programs\Opera GX\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc
FF HKLM-x32\...\Firefox\Extensions: [{CF1F0A8E-92A2-409b-AAA0-86BE62F12EDE}] - C:\Program Files (x86)\Vitato\Video Downloader\VD_FF.xpi => не найдено
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\user\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
R2 MobSyncBrokerSvc_9fbb9f; C:\WINDOWS\SysWOW64\mobsync.dll [188944 2023-10-08] (Microsoft Corporation) [Файл не подписан]
2023-10-08 13:06 - 2023-10-08 13:06 - 001071632 _____ C:\WINDOWS\SysWOW64\log471.dat
2023-10-08 13:06 - 2023-10-08 13:06 - 000188944 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\mobsync.dll
S2 ShMonitor; "C:\Program Files\EnigmaSoft\SpyHunter\ShMonitor.exe" [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
C:\ProgramData\MoviPro-11ec39aa-d2ba-4a5c-af86-b1c36cc46a0a
C:\WINDOWS\config.json
AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-1066261849-1902755692-452529572-1001\...\{4a49328e-56f2-4562-a752-7cd93a145759}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
minnow argue 3.1.7.136 (HKLM-x32\...\{6521c867-ba91-4f7e-a569-68281e6f2778}) (Version: 3.1.7.136 - Delmas S.A.R.L.) Hidden
ContextMenuHandlers1: [Vitato.VideoConverter] -> {0854B3C2-D2D4-4BE6-A407-8DA95D90F01E} =>  -> Нет файла
ContextMenuHandlers1: [Vitato.VideoPlayer] -> {D899337E-BE99-4EC9-A8DC-5E6C9D323200} =>  -> Нет файла
ContextMenuHandlers6: [Vitato.VideoConverter] -> {0854B3C2-D2D4-4BE6-A407-8DA95D90F01E} =>  -> Нет файла
ContextMenuHandlers6: [Vitato.VideoPlayer] -> {D899337E-BE99-4EC9-A8DC-5E6C9D323200} =>  -> Нет файла
AlternateDataStreams: C:\Windows:CM_36faabd924501fcd2f743302621d89eb425ec11f74fef19a5e0fe69c3f0b5201 [74]
AlternateDataStreams: C:\Windows:CM_e0501b65315a77c6cde279a3a8d62a1a6c48bf2c2e353a3654218165115f1673 [74]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bright VPN.lnk:A7C4E31509 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk:104946E0EA [3442]
AlternateDataStreams: C:\Users\user\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\user\Downloads\24.exe:MBAM.Zone.Identifier [165]
AlternateDataStreams: C:\Users\user\Downloads\Fortect.exe:MBAM.Zone.Identifier [148]
AlternateDataStreams: C:\Users\user\Downloads\KVRT (1).exe:MBAM.Zone.Identifier [183]
AlternateDataStreams: C:\Users\user\Downloads\LegionArena_1.3.0.39_x86.exe:MBAM.Zone.Identifier [104]
AlternateDataStreams: C:\Users\user\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{44C4ECB1-1352-4CC5-BEB4-07891A5F1C79}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣䝑汨⹐硥e => Нет файла
FirewallRules: [{5E5C20B8-295F-439C-9101-4E8C618BEC86}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{76049A0A-FF68-4966-83A5-96387028665A}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{20AC19F4-0121-4276-BACD-C0FE45524F7E}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣䰱灉攮數 => Нет файла
FirewallRules: [{DBE274AE-2597-4411-A66F-5D942B61663D}] => (Allow) C:\Program Files\Fortect\MainService.exe => Нет файла
FirewallRules: [{D6D9FC7D-2F65-4E82-9FED-756584BF282B}] => (Allow) C:\Program Files\Fortect\MainService.exe => Нет файла
FirewallRules: [{45FAD577-7C0D-4FDD-AF41-7FEDF92CDEC0}] => (Allow) C:\Program Files\Fortect\MainService.exe => Нет файла
FirewallRules: [{97F03438-EDC0-48D9-BFAF-277FAC196E95}] => (Allow) C:\Program Files\Fortect\MainService.exe => Нет файла
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\promotional-profession.lnk
C:\ProgramData\profession-pound
Task: {DD649D64-AD26-4DB4-8771-E556DEB42CC0} - System32\Tasks\Microsoft_Hardware_Launch_IPoint_exe => c:\Program Files\Microsoft IntelliPoint\IPoint.exe  (Нет файла)
Folder: C:\ProgramData\tl
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[SWAIZ]

 

Fixlog.txt

[thyrex]

Папку C:\FRST\Quarantine упакуйте в архив с паролем, пожалуйста. Выложите на облако и ссылку на скачивание передайте через систему личных сообщений.
Не забудьте там же сообщить пароль.

 

Проблема решена?

 

[SWAIZ]

так должно быть?

 

Похоже решена. После перезагрузки вирус не появился. Махтал за помощь!    

[thyrex]

Вы не открыли доступ на скачивание архива с карантином.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  
• Прикрепите этот файл в своем следующем сообщении.

[SWAIZ]

 

 

SecurityCheck.txt

[thyrex]

--------------------------- [ OtherUtilities ] ----------------------------

Python 3.11.4 (64-bit) v.3.11.4150.0 Warning! Download Update
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 22.01 v.22.01 Warning! Download Update
Uninstall old version and install new one.
------------------------------- [ Browser ] -------------------------------
Yandex v.23.9.2.888 Warning! Download Update
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.17 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.
Reg Organizer, версия 9.31 v.9.31 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.
AdBlock Shield 1.0.0.0 v.1.0.0.0 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
IObit Unlocker v.1.3.0.11 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.

по возможности исправьте указанное, и на этом закончим