mobsync.dll [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen ScoreMark.exe

[Nktz]

Добрый день!

 

Тема как у других пользователей с таким заголовком, но лечение, как я понял, у всех уникальное.

Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen? После перезагрузки и лечения(удаления), он снова обнаруживается Kaspersky Plus. После перезагрузки компьютера, всё по новой.

 

Событие: Обнаружен вредоносный объект
Тип пользователя: Активный пользователь
Имя приложения: avp.exe
Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15
Компонент: Файловый Антивирус
Описание результата: Обнаружено
Тип: Троянское приложение
Название: HEUR:Trojan.Win64.Miner.gen
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: ScoreMark.exe
Путь к объекту: C:\ProgramData\ScoreMark-41310719-8657-4525-a990-de1539dc3850
MD5 объекта: DA6BDB2F73A617966E833EFE0D9CF1B7
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 29.11.2023 14:05:00

 

Подскажите, пожалуйста, что делать? Спасибо

 

Файл отчета автологгера в приложении.

CollectionLog-2023.11.29-19.31.zip

[safety]

WProxy\WinProxy\WinProxy.exe+SysWOW64\mobsync.dll+C:\ProgramData\ScoreMark-41310719-8657-4525-a990-de1539dc3850\ScoreMark.exe+WinRing0x64.sys

 

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
regt 41
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 30 ноября, 2023 пользователем safety

[Nktz]

DESKTOP-TVIKUVG_2023-12-03_12-15-55_v4.14.1.7z Прикладываю файл.

Также заметил, что Касперский при запуске системы блокирует обращение сюда (примеры ниже) , возможно связано.

 

Сегодня, 03.12.2023 11:13:05;Остановлен переход на сайт;Windows® installer;msiexec.exe;C:\Windows\SysWOW64\msiexec.exe;C:\Windows\SysWOW64;5468;DESKTOP-TVIKUVG\nikit;Инициатор;Запрещено;Запрещено;https://s5d-ru.smartassest.net/v1/;Вредоносная ссылка;Высокая;Точно;https://s5d-ru.smartassest.net/v1;;https://s5d-ru.smartassest.net/v1;Веб-страница;Облачная защита

 

Вчера, 02.12.2023 18:39:53;Остановлен переход на сайт;Windows® installer;msiexec.exe;C:\Windows\SysWOW64\msiexec.exe;C:\Windows\SysWOW64;5680;DESKTOP-TVIKUVG\nikit;Инициатор;Запрещено;Запрещено;https://s5d-ru.smartassest.net/v1/;Вредоносная ссылка;Высокая;Точно;https://s5d-ru.smartassest.net/v1;;https://s5d-ru.smartassest.net/v1;Веб-страница;Облачная защита

 

Вчера, 02.12.2023 16:32:36;Остановлен переход на сайт;Windows® installer;msiexec.exe;C:\Windows\SysWOW64\msiexec.exe;C:\Windows\SysWOW64;304;DESKTOP-TVIKUVG\nikit;Инициатор;Запрещено;Запрещено;https://s5d-ru.smartassest.net/v1/;Вредоносная ссылка;Высокая;Точно;https://s5d-ru.smartassest.net/v1;;https://s5d-ru.smartassest.net/v1;Веб-страница;Облачная защита

 

 

Спасибо!

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES (X86)\CAMO STUDIO\CAMOSTUDIO.EXE
dirzooex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
deldirex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
delall %SystemDrive%\USERS\NIKIT\APPDATA\LOCAL\PROGRAMS\1B32C0643D1B\940D052D39.MSI
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
addsgn A7679BCB043CC707038351C474FBEDFA5086AA1E8DC31F780003B1E3D3AB7D4D5656943FBA279C48D495108E4617CC3A09966147F5A8B12DC5A1952FC7F9376F 64 Mobsync 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMIKKGCABIMEHKAINJJFAKDCJHJJMDKN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 28
regt 29
deltmp
delref %SystemDrive%\USERS\NIKIT\APPDATA\LOCAL\TEMP\7ZIPSFX.002\MEGACMD\MEGACMDUPDATER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\LSCLIENTSERVICE.DLL
delref %Sys32%\RDVGM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\VMSYNTH3DVIDEO.DLL
delref %Sys32%\DRIVERS\USBVIDEO.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\NIKIT\APPDATA\ROAMING\ACESTREAM\PLAYER\NPACE_PLUGIN.DLL
delref %SystemDrive%\USERS\NIKIT\APPDATA\ROAMING\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI
delref %SystemDrive%\PROGRAM FILES\DOCKER\DOCKER\DOCKER DESKTOP.EXE -AUTOSTART
delref %SystemDrive%\USERS\NIKIT\APPDATA\ROAMING\ACESTREAM\PLAYER\ACE_PLAYER.EXE
delref %SystemDrive%\USERS\NIKIT\APPDATA\ROAMING\ACESTREAM\ENGINE\ACE_ENGINE.EXE
delref D:\EASYDIFFUSION\START STABLE DIFFUSION UI.CMD
delref %SystemDrive%\USERS\NIKIT\APPDATA\LOCAL\MICROSOFT\WINDOWSAPPS\MICROSOFTCORPORATIONII.WINDOWSSUBSYSTEMFORLINUX_8WEKYB3D8BBWE\WSLG.EXE
;-------------------------------------------------------------
regt 40
regt 42
restart
czoo

после перезагрузки системы добавьте пожалуйста, файл Дата_времяlog.txt из папки uVS, новый образ автозапуска (для контроля) файл ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

+ логи FRST

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

Изменено 3 декабря, 2023 пользователем safety

[Nktz]

Здравствуйте!

 

Отправил в ЛС

 

 

До скрипта были еще вот такое заблокировано

 

Сегодня, 03.12.2023 11:36:50;Загрузка остановлена;Firefox;firefox.exe;C:\Program Files\Mozilla Firefox\firefox.exe;C:\Program Files\Mozilla Firefox;3996;DESKTOP-TVIKUVG\nikit;Инициатор;Запрещено;Запрещено;not-a-virus:HEUR:AdWare.Script.Redirect.gen;Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя;Средняя;Частично;https://www.oyesrhweyma.com/scripts/buckets.min.js;buckets.min.js;https://www.oyesrhweyma.com/scripts;Файл;Экспертный анализ

Изменено 3 декабря, 2023 пользователем Nktz

[safety]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-12-03 18:56 - 2023-10-16 18:39 - 000000000 ____D C:\WINDOWS\system32\Tasks\WProxy
2023-10-23 18:40 C:\Program Files\RDP Wrapper
2023-10-23 18:40 C:\ProgramData\RDP Wrapper
2023-10-23 18:40 C:\ProgramData\Setup
2023-10-23 18:40 C:\ProgramData\Windows Tasks Service
2023-10-23 18:40 C:\ProgramData\WindowsTask
FirewallRules: [{759A1DCE-BA2F-46C6-AC54-E27047BDA450}] => (Allow) C:\program files (x86)\utorrent\utorrent.exe => Нет файла
FirewallRules: [{7690837E-6FD1-49DF-B50A-8D96AC9DB89E}] => (Allow) C:\program files (x86)\utorrent\utorrent.exe => Нет файла
FirewallRules: [{80BAFA4C-B54E-4CD1-8398-9810223F83AA}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{6A0B170F-B2C7-4B2F-8940-625E83A91CAF}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{F5EB6AA8-DFE2-4944-BD22-5063CF2ABB93}] => (Allow) 㩃啜敳獲湜歩瑩䅜灰慄慴剜慯業杮瑜捯奜浘稷攮數 => Нет файла
FirewallRules: [{37ED67F1-7361-49C7-BFA9-3CCAC2EB8AC4}] => (Allow) 㩃啜敳獲湜歩瑩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{D0510A3C-C687-40DD-B3FA-3986E46B16CF}] => (Allow) 㩃啜敳獲湜歩瑩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{38B65506-D5F5-4D6D-B528-06D44DD1D971}] => (Allow) 㩃啜敳獲湜歩瑩䅜灰慄慴剜慯業杮瑜捯㉜煄⹖硥e => Нет файла
FirewallRules: [{FE2F4773-1E27-4329-BA59-4525523AC465}] => (Allow) C:\Users\nikit\AppData\Local\Temp\29FE2922-4F45-48BD-99F0-EE989550E275\ga_service.exe => Нет файла
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

[Nktz]

Fixlog.txtДоброе утро!

 

Файл в аттаче, на текущий момент больше не появлялась проблема. Понаблюдаю.

 

Огромное спасибо!

[safety]

Хорошо!

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

[Nktz]

SecurityCheck.txt

 

Bonjour удалить?

[Sandor]

Да, она не нужна в системе.

[Nktz]

Спасибо!

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".