Перейти к содержанию

[РЕШЕНО] HEUR:Trojan.Win64.Miner.gen ScoreMark.exe


Рекомендуемые сообщения

Добрый день!

 

Тема как у других пользователей с таким заголовком, но лечение, как я понял, у всех уникальное.

Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen? После перезагрузки и лечения(удаления), он снова обнаруживается Kaspersky Plus. После перезагрузки компьютера, всё по новой.

 

Событие: Обнаружен вредоносный объект
Тип пользователя: Активный пользователь
Имя приложения: avp.exe
Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15
Компонент: Файловый Антивирус
Описание результата: Обнаружено
Тип: Троянское приложение
Название: HEUR:Trojan.Win64.Miner.gen
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: ScoreMark.exe
Путь к объекту: C:\ProgramData\ScoreMark-41310719-8657-4525-a990-de1539dc3850
MD5 объекта: DA6BDB2F73A617966E833EFE0D9CF1B7
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 29.11.2023 14:05:00

 

Подскажите, пожалуйста, что делать? Спасибо

 

Файл отчета автологгера в приложении.

CollectionLog-2023.11.29-19.31.zip

Ссылка на сообщение
Поделиться на другие сайты

WProxy\WinProxy\WinProxy.exe+SysWOW64\mobsync.dll+C:\ProgramData\ScoreMark-41310719-8657-4525-a990-de1539dc3850\ScoreMark.exe+WinRing0x64.sys

 

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
regt 41
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

DESKTOP-TVIKUVG_2023-12-03_12-15-55_v4.14.1.7z Прикладываю файл.

Также заметил, что Касперский при запуске системы блокирует обращение сюда (примеры ниже) , возможно связано.

 

Сегодня, 03.12.2023 11:13:05;Остановлен переход на сайт;Windows® installer;msiexec.exe;C:\Windows\SysWOW64\msiexec.exe;C:\Windows\SysWOW64;5468;DESKTOP-TVIKUVG\nikit;Инициатор;Запрещено;Запрещено;https://s5d-ru.smartassest.net/v1/;Вредоносная ссылка;Высокая;Точно;https://s5d-ru.smartassest.net/v1;;https://s5d-ru.smartassest.net/v1;Веб-страница;Облачная защита

 

Вчера, 02.12.2023 18:39:53;Остановлен переход на сайт;Windows® installer;msiexec.exe;C:\Windows\SysWOW64\msiexec.exe;C:\Windows\SysWOW64;5680;DESKTOP-TVIKUVG\nikit;Инициатор;Запрещено;Запрещено;https://s5d-ru.smartassest.net/v1/;Вредоносная ссылка;Высокая;Точно;https://s5d-ru.smartassest.net/v1;;https://s5d-ru.smartassest.net/v1;Веб-страница;Облачная защита

 

Вчера, 02.12.2023 16:32:36;Остановлен переход на сайт;Windows® installer;msiexec.exe;C:\Windows\SysWOW64\msiexec.exe;C:\Windows\SysWOW64;304;DESKTOP-TVIKUVG\nikit;Инициатор;Запрещено;Запрещено;https://s5d-ru.smartassest.net/v1/;Вредоносная ссылка;Высокая;Точно;https://s5d-ru.smartassest.net/v1;;https://s5d-ru.smartassest.net/v1;Веб-страница;Облачная защита

 

 

Спасибо!

Ссылка на сообщение
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES (X86)\CAMO STUDIO\CAMOSTUDIO.EXE
dirzooex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
deldirex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
delall %SystemDrive%\USERS\NIKIT\APPDATA\LOCAL\PROGRAMS\1B32C0643D1B\940D052D39.MSI
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
addsgn A7679BCB043CC707038351C474FBEDFA5086AA1E8DC31F780003B1E3D3AB7D4D5656943FBA279C48D495108E4617CC3A09966147F5A8B12DC5A1952FC7F9376F 64 Mobsync 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMIKKGCABIMEHKAINJJFAKDCJHJJMDKN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 28
regt 29
deltmp
delref %SystemDrive%\USERS\NIKIT\APPDATA\LOCAL\TEMP\7ZIPSFX.002\MEGACMD\MEGACMDUPDATER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\LSCLIENTSERVICE.DLL
delref %Sys32%\RDVGM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\VMSYNTH3DVIDEO.DLL
delref %Sys32%\DRIVERS\USBVIDEO.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\NIKIT\APPDATA\ROAMING\ACESTREAM\PLAYER\NPACE_PLUGIN.DLL
delref %SystemDrive%\USERS\NIKIT\APPDATA\ROAMING\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI
delref %SystemDrive%\PROGRAM FILES\DOCKER\DOCKER\DOCKER DESKTOP.EXE -AUTOSTART
delref %SystemDrive%\USERS\NIKIT\APPDATA\ROAMING\ACESTREAM\PLAYER\ACE_PLAYER.EXE
delref %SystemDrive%\USERS\NIKIT\APPDATA\ROAMING\ACESTREAM\ENGINE\ACE_ENGINE.EXE
delref D:\EASYDIFFUSION\START STABLE DIFFUSION UI.CMD
delref %SystemDrive%\USERS\NIKIT\APPDATA\LOCAL\MICROSOFT\WINDOWSAPPS\MICROSOFTCORPORATIONII.WINDOWSSUBSYSTEMFORLINUX_8WEKYB3D8BBWE\WSLG.EXE
;-------------------------------------------------------------
regt 40
regt 42
restart
czoo

после перезагрузки системы добавьте пожалуйста, файл Дата_времяlog.txt из папки uVS, новый образ автозапуска (для контроля) файл ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

+ логи FRST

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Отправил в ЛС

 

 

До скрипта были еще вот такое заблокировано

 

Сегодня, 03.12.2023 11:36:50;Загрузка остановлена;Firefox;firefox.exe;C:\Program Files\Mozilla Firefox\firefox.exe;C:\Program Files\Mozilla Firefox;3996;DESKTOP-TVIKUVG\nikit;Инициатор;Запрещено;Запрещено;not-a-virus:HEUR:AdWare.Script.Redirect.gen;Содержит рекламное приложение, приложение автодозвона или легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя;Средняя;Частично;https://www.oyesrhweyma.com/scripts/buckets.min.js;buckets.min.js;https://www.oyesrhweyma.com/scripts;Файл;Экспертный анализ

Изменено пользователем Nktz
Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-12-03 18:56 - 2023-10-16 18:39 - 000000000 ____D C:\WINDOWS\system32\Tasks\WProxy
2023-10-23 18:40 C:\Program Files\RDP Wrapper
2023-10-23 18:40 C:\ProgramData\RDP Wrapper
2023-10-23 18:40 C:\ProgramData\Setup
2023-10-23 18:40 C:\ProgramData\Windows Tasks Service
2023-10-23 18:40 C:\ProgramData\WindowsTask
FirewallRules: [{759A1DCE-BA2F-46C6-AC54-E27047BDA450}] => (Allow) C:\program files (x86)\utorrent\utorrent.exe => Нет файла
FirewallRules: [{7690837E-6FD1-49DF-B50A-8D96AC9DB89E}] => (Allow) C:\program files (x86)\utorrent\utorrent.exe => Нет файла
FirewallRules: [{80BAFA4C-B54E-4CD1-8398-9810223F83AA}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{6A0B170F-B2C7-4B2F-8940-625E83A91CAF}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{F5EB6AA8-DFE2-4944-BD22-5063CF2ABB93}] => (Allow) 㩃啜敳獲湜歩瑩䅜灰慄慴剜慯業杮瑜捯奜浘稷攮數 => Нет файла
FirewallRules: [{37ED67F1-7361-49C7-BFA9-3CCAC2EB8AC4}] => (Allow) 㩃啜敳獲湜歩瑩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{D0510A3C-C687-40DD-B3FA-3986E46B16CF}] => (Allow) 㩃啜敳獲湜歩瑩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{38B65506-D5F5-4D6D-B528-06D44DD1D971}] => (Allow) 㩃啜敳獲湜歩瑩䅜灰慄慴剜慯業杮瑜捯㉜煄⹖硥e => Нет файла
FirewallRules: [{FE2F4773-1E27-4329-BA59-4525523AC465}] => (Allow) C:\Users\nikit\AppData\Local\Temp\29FE2922-4F45-48BD-99F0-EE989550E275\ga_service.exe => Нет файла
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо!

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Clf
      От Clf
      Добрый день!
      Такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Помогите удалить HEUR:Trojan.Win64.Miner.gen

      Прикрепил логи по правилам оформления запроса созданные через AutoLogger

      Также прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool 
      + образ автозапуска в uVS

       
      FRST.txt Addition.txt DENIS_2024-01-24_22-33-29_v4.15.1.7z
      CollectionLog-2024.01.24-23.06.zip
    • Tim7
      От Tim7
      Добрый день!
      Точно такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Подхватил HEUR:Trojan.Win64.Miner.gen, как удалить?
    • Volodya
      От Volodya
      Здравствуйте. Обнаружил сегодня внезапно нового пользователя John. Погуглив понял, что это какой-то майнер. Не без труда скачал KVRT и проверил через него, нашлось 15 проблем. Вроде все удалилось, сайт открывается, пользователя удалил. Помогите убедиться, что никаких следов майнера не осталось, пожалуйста
      CollectionLog-2024.01.14-01.31.zip
    • KonstantinD
      От KonstantinD
      Все привет , подскажите пожалуста в ноуте сидит майнер процесор грущит 100% . что делать ? сам справится не могу
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • zerx465
      От zerx465
      У меня аналогичная проблема. Кое-как за пол дня смог собрать файлы, но отправить могу только с телефона. Напишите пж мне на почту по этому вопросу, я скину отсчёты. Очень нужна помощь но с компьютера ничего не работает.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.  
×
×
  • Создать...