Перейти к содержанию

[РЕШЕНО] HEUR:Trojan.Win64.Miner.gen ScoreMark.exe


Рекомендуемые сообщения

Добрый день!

 

Тема как у других пользователей с таким заголовком, но лечение, как я понял, у всех уникальное.

Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen? После перезагрузки и лечения(удаления), он снова обнаруживается Kaspersky Plus. После перезагрузки компьютера, всё по новой.

 

Событие: Обнаружен вредоносный объект
Тип пользователя: Активный пользователь
Имя приложения: avp.exe
Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15
Компонент: Файловый Антивирус
Описание результата: Обнаружено
Тип: Троянское приложение
Название: HEUR:Trojan.Win64.Miner.gen
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: ScoreMark.exe
Путь к объекту: C:\ProgramData\ScoreMark-41310719-8657-4525-a990-de1539dc3850
MD5 объекта: DA6BDB2F73A617966E833EFE0D9CF1B7
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 29.11.2023 14:05:00

 

Подскажите, пожалуйста, что делать? Спасибо

 

Файл отчета автологгера в приложении.

CollectionLog-2023.11.29-19.31.zip

Ссылка на комментарий
Поделиться на другие сайты

WProxy\WinProxy\WinProxy.exe+SysWOW64\mobsync.dll+C:\ProgramData\ScoreMark-41310719-8657-4525-a990-de1539dc3850\ScoreMark.exe+WinRing0x64.sys

 

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
regt 41
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

DESKTOP-TVIKUVG_2023-12-03_12-15-55_v4.14.1.7z Прикладываю файл.

Также заметил, что Касперский при запуске системы блокирует обращение сюда (примеры ниже) , возможно связано.

 

Сегодня, 03.12.2023 11:13:05;Остановлен переход на сайт;Windows® installer;msiexec.exe;C:\Windows\SysWOW64\msiexec.exe;C:\Windows\SysWOW64;5468;DESKTOP-TVIKUVG\nikit;Инициатор;Запрещено;Запрещено;https://s5d-ru.smartassest.net/v1/;Вредоносная ссылка;Высокая;Точно;https://s5d-ru.smartassest.net/v1;;https://s5d-ru.smartassest.net/v1;Веб-страница;Облачная защита

 

Вчера, 02.12.2023 18:39:53;Остановлен переход на сайт;Windows® installer;msiexec.exe;C:\Windows\SysWOW64\msiexec.exe;C:\Windows\SysWOW64;5680;DESKTOP-TVIKUVG\nikit;Инициатор;Запрещено;Запрещено;https://s5d-ru.smartassest.net/v1/;Вредоносная ссылка;Высокая;Точно;https://s5d-ru.smartassest.net/v1;;https://s5d-ru.smartassest.net/v1;Веб-страница;Облачная защита

 

Вчера, 02.12.2023 16:32:36;Остановлен переход на сайт;Windows® installer;msiexec.exe;C:\Windows\SysWOW64\msiexec.exe;C:\Windows\SysWOW64;304;DESKTOP-TVIKUVG\nikit;Инициатор;Запрещено;Запрещено;https://s5d-ru.smartassest.net/v1/;Вредоносная ссылка;Высокая;Точно;https://s5d-ru.smartassest.net/v1;;https://s5d-ru.smartassest.net/v1;Веб-страница;Облачная защита

 

 

Спасибо!

Ссылка на комментарий
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES (X86)\CAMO STUDIO\CAMOSTUDIO.EXE
dirzooex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
deldirex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
delall %SystemDrive%\USERS\NIKIT\APPDATA\LOCAL\PROGRAMS\1B32C0643D1B\940D052D39.MSI
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
addsgn A7679BCB043CC707038351C474FBEDFA5086AA1E8DC31F780003B1E3D3AB7D4D5656943FBA279C48D495108E4617CC3A09966147F5A8B12DC5A1952FC7F9376F 64 Mobsync 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMIKKGCABIMEHKAINJJFAKDCJHJJMDKN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 28
regt 29
deltmp
delref %SystemDrive%\USERS\NIKIT\APPDATA\LOCAL\TEMP\7ZIPSFX.002\MEGACMD\MEGACMDUPDATER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\LSCLIENTSERVICE.DLL
delref %Sys32%\RDVGM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\VMSYNTH3DVIDEO.DLL
delref %Sys32%\DRIVERS\USBVIDEO.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\NIKIT\APPDATA\ROAMING\ACESTREAM\PLAYER\NPACE_PLUGIN.DLL
delref %SystemDrive%\USERS\NIKIT\APPDATA\ROAMING\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI
delref %SystemDrive%\PROGRAM FILES\DOCKER\DOCKER\DOCKER DESKTOP.EXE -AUTOSTART
delref %SystemDrive%\USERS\NIKIT\APPDATA\ROAMING\ACESTREAM\PLAYER\ACE_PLAYER.EXE
delref %SystemDrive%\USERS\NIKIT\APPDATA\ROAMING\ACESTREAM\ENGINE\ACE_ENGINE.EXE
delref D:\EASYDIFFUSION\START STABLE DIFFUSION UI.CMD
delref %SystemDrive%\USERS\NIKIT\APPDATA\LOCAL\MICROSOFT\WINDOWSAPPS\MICROSOFTCORPORATIONII.WINDOWSSUBSYSTEMFORLINUX_8WEKYB3D8BBWE\WSLG.EXE
;-------------------------------------------------------------
regt 40
regt 42
restart
czoo

после перезагрузки системы добавьте пожалуйста, файл Дата_времяlog.txt из папки uVS, новый образ автозапуска (для контроля) файл ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

+ логи FRST

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Отправил в ЛС

 

 

До скрипта были еще вот такое заблокировано

 

Сегодня, 03.12.2023 11:36:50;Загрузка остановлена;Firefox;firefox.exe;C:\Program Files\Mozilla Firefox\firefox.exe;C:\Program Files\Mozilla Firefox;3996;DESKTOP-TVIKUVG\nikit;Инициатор;Запрещено;Запрещено;not-a-virus:HEUR:AdWare.Script.Redirect.gen;Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя;Средняя;Частично;https://www.oyesrhweyma.com/scripts/buckets.min.js;buckets.min.js;https://www.oyesrhweyma.com/scripts;Файл;Экспертный анализ

Изменено пользователем Nktz
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-12-03 18:56 - 2023-10-16 18:39 - 000000000 ____D C:\WINDOWS\system32\Tasks\WProxy
2023-10-23 18:40 C:\Program Files\RDP Wrapper
2023-10-23 18:40 C:\ProgramData\RDP Wrapper
2023-10-23 18:40 C:\ProgramData\Setup
2023-10-23 18:40 C:\ProgramData\Windows Tasks Service
2023-10-23 18:40 C:\ProgramData\WindowsTask
FirewallRules: [{759A1DCE-BA2F-46C6-AC54-E27047BDA450}] => (Allow) C:\program files (x86)\utorrent\utorrent.exe => Нет файла
FirewallRules: [{7690837E-6FD1-49DF-B50A-8D96AC9DB89E}] => (Allow) C:\program files (x86)\utorrent\utorrent.exe => Нет файла
FirewallRules: [{80BAFA4C-B54E-4CD1-8398-9810223F83AA}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{6A0B170F-B2C7-4B2F-8940-625E83A91CAF}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{F5EB6AA8-DFE2-4944-BD22-5063CF2ABB93}] => (Allow) 㩃啜敳獲湜歩瑩䅜灰慄慴剜慯業杮瑜捯奜浘稷攮數 => Нет файла
FirewallRules: [{37ED67F1-7361-49C7-BFA9-3CCAC2EB8AC4}] => (Allow) 㩃啜敳獲湜歩瑩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{D0510A3C-C687-40DD-B3FA-3986E46B16CF}] => (Allow) 㩃啜敳獲湜歩瑩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{38B65506-D5F5-4D6D-B528-06D44DD1D971}] => (Allow) 㩃啜敳獲湜歩瑩䅜灰慄慴剜慯業杮瑜捯㉜煄⹖硥e => Нет файла
FirewallRules: [{FE2F4773-1E27-4329-BA59-4525523AC465}] => (Allow) C:\Users\nikit\AppData\Local\Temp\29FE2922-4F45-48BD-99F0-EE989550E275\ga_service.exe => Нет файла
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

Ссылка на комментарий
Поделиться на другие сайты

Хорошо!

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Mausidze
      От Mausidze
      Недавно защитник обнаружил файл, который не может нормально удалить или просканировать, решил скачать Kaspersky Premium.
      Провёл несколько быстрых сканов, перезагрузок и полную проверку, но постоянно выдаёт при запуске, что удалённый HEUR:Trojan.Win64.Miner.gen вернулся
      Распознаёт, если пытаться вылечить без перезагрузки, как криптоджекинг
      Прикрепил отчёт программы
      otchet.txt
    • Александр_38
      От Александр_38
      DESKTOP-0MLA7HG_2024-11-02_21-02-48_v4.99.2v x64.7z
       
      Никак не могу справиться с данной проблемой, пытался прочитать на ваших форумах, но не совсем понял.
    • Paul_Backley
      От Paul_Backley
      Не удаляется вирус даже после полной очистки. 
       
      Помогите пожалуйста. 

    • Павел11
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • dogmos
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
×
×
  • Создать...