evntagnt.dll [РЕШЕНО] Как удалить HEUR:Trojan.Win64.Miner.gen

[Даниил000 0]

Здравствуйте! После удаления вируса и перезагрузки компьютера он появляется снова, помогите удалить пожалуйста

C:\ProgramData\FlashUploader-bc6638bb-9…4d5-b2b4-2c506539c3bd\FlashUploader.exe

Походу майнер, грузиться проц и видеокарта.

frst.zip

Изменено 29 ноября, 2023 пользователем Даниил000

[Даниил000 0]

CollectionLog-2023.11.29-23.12.zip

[safety 80]

WinProxy.exe+a3350464d7.msi+\SysWOW64\evntagnt.dll+\peek398.dat+???(C:\ProgramData\FlashUploader-bc6638bb-9…4d5-b2b4-2c506539c3bd\FlashUploader.exe )

 

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
regt 41
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 30 ноября, 2023 пользователем safety

[Даниил000 0]

15 часов назад, safety сказал:

WinProxy.exe+a3350464d7.msi+\SysWOW64\evntagnt.dll+\peek398.dat+???(C:\ProgramData\FlashUploader-bc6638bb-9…4d5-b2b4-2c506539c3bd\FlashUploader.exe )

 

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
regt 41
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

DESKTOP-P216ABU_2023-11-30_21-07-27_v4.14.1.7z

[safety 80]

! Не надо цитировать ответ, просто пишите ваше сообщение в окне редактора.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
dirzooex %SystemDrive%\PROGRAMDATA\FLASHUPLOADER-BC6638BB-9233-44D5-B2B4-2C506539C3BD
deldirex %SystemDrive%\PROGRAMDATA\FLASHUPLOADER-BC6638BB-9233-44D5-B2B4-2C506539C3BD
dirzooex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
delall %SystemDrive%\USERS\DANII\APPDATA\LOCAL\PROGRAMS\E35A2AFE\A3350464D7.MSI
deldirex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\CONFIDENCE-CASUAL\BIN.EXE
ZOO C:\Windows\SysWOW64\peek398.dat
delall C:\Windows\SysWOW64\peek398.dat
zoo %SystemRoot%\SYSWOW64\EVNTAGNT.DLL
addsgn A48457FD156A26785582464E4DC8128E61AEE87561FA4621F1F48DC84B9E055D6B63C43FEE33DD49C0ACEC0F2056491158B7BC1415DA5B32456FC26FC750CAB8 64 Mobsync 7

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJOKAEECKKFHKIDBHKBDIEHBKEJIPPNHF%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\DANII\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref D:\TIA PORTAL\TIA PORTAL V18\SCADA-RT_V11\WINCC\BIN\WINCCCONFIGURATOR.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref D:\TIA PORTAL\TIA PORTAL V18\PORTAL V18\BIN\SIEMENS.AUTOMATION.SECURITY.AUDITLOG.IMPL.SIEMENSAG-AUTOMATION-TIAPORTAL.ETWMANIFEST.DLL
delref D:\TIA PORTAL\TIA PORTAL V18\SCADA-RT_V11\WINCC\BIN\CCTEXTSERVER.EXE

;-------------------------------------------------------------

restart
czoo

Добавьте файл Дата_времяlog.txt после перезагрузки системы из папки uVS

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

+

добавьте новые логи FRST для контроля.

Изменено 1 декабря, 2023 пользователем safety

[Даниил000 0]

Отправил в ЛС 

[Sandor 1 253]

3 часа назад, safety сказал:

добавьте новые логи FRST для контроля.

Также, как в вашем первом сообщении.

[Даниил000 0]

frst.zip

[safety 80]

Судя по новым логам с очисткой от майнера все получилось, этот файл здесь добавьте, пожалуйста.

Quote

Добавьте файл Дата_времяlog.txt после перезагрузки системы из папки uVS

по логам FRST сейчас посмотрю что осталось для зачистки и исправления.

[Даниил000 0]

Да, вроде как признаков работы майнера пока не обнаружено 

2023-12-01_10-52-29_log.txt

[safety 80]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Скрипт ниже:

Start::
CloseProcesses:
SystemRestore: On
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-11-28 17:05 - 2023-11-28 17:05 - 000000000 _RSHD C:\ProgramData\WindowsTask
2023-11-28 17:05 - 2023-11-28 17:05 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2023-11-28 17:05 - 2023-11-28 17:05 - 000000000 _RSHD C:\ProgramData\Setup
2023-11-28 17:05 - 2023-11-28 17:05 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2023-11-28 17:05 - 2023-11-28 17:05 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2023-11-28 17:05 - 2023-11-28 17:05 - 000000000 _RSHD C:\Program Files (x86)\360
2023-11-18 23:44 - 2023-11-18 23:44 - 000000000 ____D C:\Program Files\WProxy
2023-11-28 17:05 C:\Program Files\RDP Wrapper
2023-11-28 17:05 C:\Program Files (x86)\360
2023-11-28 17:05 C:\ProgramData\RDP Wrapper
2023-11-28 17:05 C:\ProgramData\Setup
2023-11-28 17:05 C:\ProgramData\Windows Tasks Service
2023-11-28 17:05 C:\ProgramData\WindowsTask
FirewallRules: [{958BC07E-91F6-421D-B1B9-C250059385BC}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{1188C1AE-8313-4ADC-B299-CC8F37212123}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{C5B677CB-B59D-4E8E-ACA6-DA8A248486AA}] => (Allow) 㩃啜敳獲摜湡楩䅜灰慄慴剜慯業杮瑜捯湜歃允攮數 => Нет файла
FirewallRules: [{5586B9E0-C056-4EDF-8524-0231767B9A3E}] => (Allow) 㩃啜敳獲摜湡楩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{35B37738-3BB2-462C-ADF3-C1392D8F3329}] => (Allow) 㩃啜敳獲摜湡楩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{56E745CF-D75A-49E9-BB48-FD223ACE2B68}] => (Allow) 㩃啜敳獲摜湡楩䅜灰慄慴剜慯業杮瑜捯䭜汢⹭硥e => Нет файла
EmptyTemp:
Reboot:
End::

После перезагрузки, добавьте лог очистки Fixlog.txt из папки, откуда запускали FRST.

 

16 minutes ago, Даниил000 said:

Да, вроде как признаков работы майнера пока не обнаружено 

Да, все успешно очищено.

Удаление файлов...
C:\WINDOWS\SYSWOW64\EVNTAGNT.DLL будет удален после перезагрузки
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 2 из 2
Удалено файлов: 0 из 1

Изменено 1 декабря, 2023 пользователем safety

[safety 80]

После очистки в FRST выполните в uVS скрипт (с автоматической перезагрузкой системы) который отключает дополнительное логирование:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
regt 40
regt 42
restart

Если известен источник заражения системы майнером, напишите, пожалуйста, об этом в ЛС.

Изменено 1 декабря, 2023 пользователем safety

[Даниил000 0]

Fixlog.txt

[safety 80]

Хорошо, скрипт для FRST можно еще раз прогнать, добавил удаление ненужных правил в фаерволе, и на этом по очистке системы все.

+

Quote

Если известен источник заражения системы майнером, напишите, пожалуйста, об этом в ЛС.

 

Изменено 1 декабря, 2023 пользователем safety

[Даниил000 0]

Прогнать то же самый скрипт? 

Start::
CloseProcesses:
SystemRestore: On
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-11-28 17:05 - 2023-11-28 17:05 - 000000000 _RSHD C:\ProgramData\WindowsTask
2023-11-28 17:05 - 2023-11-28 17:05 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2023-11-28 17:05 - 2023-11-28 17:05 - 000000000 _RSHD C:\ProgramData\Setup
2023-11-28 17:05 - 2023-11-28 17:05 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2023-11-28 17:05 - 2023-11-28 17:05 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2023-11-28 17:05 - 2023-11-28 17:05 - 000000000 _RSHD C:\Program Files (x86)\360
2023-11-18 23:44 - 2023-11-18 23:44 - 000000000 ____D C:\Program Files\WProxy
2023-11-28 17:05 C:\Program Files\RDP Wrapper
2023-11-28 17:05 C:\Program Files (x86)\360
2023-11-28 17:05 C:\ProgramData\RDP Wrapper
2023-11-28 17:05 C:\ProgramData\Setup
2023-11-28 17:05 C:\ProgramData\Windows Tasks Service
2023-11-28 17:05 C:\ProgramData\WindowsTask
FirewallRules: [{958BC07E-91F6-421D-B1B9-C250059385BC}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{1188C1AE-8313-4ADC-B299-CC8F37212123}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{C5B677CB-B59D-4E8E-ACA6-DA8A248486AA}] => (Allow) 㩃啜敳獲摜湡楩䅜灰慄慴剜慯業杮瑜捯湜歃允攮數 => Нет файла
FirewallRules: [{5586B9E0-C056-4EDF-8524-0231767B9A3E}] => (Allow) 㩃啜敳獲摜湡楩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{35B37738-3BB2-462C-ADF3-C1392D8F3329}] => (Allow) 㩃啜敳獲摜湡楩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{56E745CF-D75A-49E9-BB48-FD223ACE2B68}] => (Allow) 㩃啜敳獲摜湡楩䅜灰慄慴剜慯業杮瑜捯䭜汢⹭硥e => Нет файла
EmptyTemp:
Reboot:
End::

Изменено 1 декабря, 2023 пользователем Даниил000