evntagnt.dll Майнер HEUR:Trojan.Win64.Miner.gen

[Djkarpaccho]

Добрый день, друзья.

Ситуация такова, что заметил нагрузку на ГП, через процесс эксплорер выявил процесс find.exe, который запускается через родительский explorer.exe , далее вышел на папку C:\ProgramData\PaperTrailManager-18143644-30da-4ba7-ae35-5cdc3fdafd11 . Удалять, сканировать, лечить - ничего не помогает. Пробовал многое, удалось локализовать проблему, то есть он запускается, но анвир не дает ему дальше ходу, следовательно вопрос его удаления.
Автор моего творения везде отображается как Andre S.A.R.L. с продуктом red mill
Отчеты прилагаю far bar прилагаю.

Буду благодарен помощи, советам к действию)

FRST.txt Addition.txt

[Sandor]

Здравствуйте!

 

Начальные логи нужны другие - Порядок оформления запроса о помощи

Но в вашем случае сделайте так, пожалуйста:

 

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   OFFSGNSAVE
   regt 39
   regt 41
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

 

После перезагрузки:

1. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
2. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
3. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

 

 

Подробнее читайте в руководстве Как подготовить лог UVS.

 

 

 

[Djkarpaccho]

8 минут назад, Sandor сказал:

Здравствуйте!

 

Начальные логи нужны другие - Порядок оформления запроса о помощи

Но в вашем случае сделайте так, пожалуйста:

 

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   
   ;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   OFFSGNSAVE
   regt 39
   regt 41
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

 

После перезагрузки:

1. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
2. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
3. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

 

 

Подробнее читайте в руководстве Как подготовить лог UVS.

 

 

 

Выполнено. За правила, извиняюсь. Совсем уже отчаялся.

WIN-HNEIV3OTCBV_2023-11-30_14-38-28_v4.14.1.7z

[Sandor]

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Файл Hosts правили самостоятельно?

[Djkarpaccho]

и да, и нет. Нет - это системы всякие автоматом)

[Sandor]

DAEMON Tools Ultra для какой цели используете? Если только для монтирования iso-образов, то начиная с Win10 эта функция встроена в систему.

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.14 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv11.0
   v400c
   OFFSGNSAVE
   zoo %SystemDrive%\PROGRAMDATA\PAPERTRAILMANAGER-18143644-30DA-4BA7-AE35-5CDC3FDAFD11\PAPERTRAILMANAGER.EXE
   addsgn BA6F9BB2BD514B720B9C2D754C2168FBDA75303AC9A957FB69E38D3789E5B8B3363890573E1D1682D4959ACC4616B6EFA58DE8721D5178962473A4EF8F85E653 15 Miner 7
   
   addsgn BA6F9BB2BD514B720B9C2D754C2168FBDA75303AC9A957FB69E38D3789E5B8B3363890573E1D1682D4959ACC4616B6EFA58DE8721D5178962473A4EF8F85E653 8 Miner dll 7
   
   chklst
   delvir
   
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\MBAMSERVICE.EXE
   delref %SystemDrive%\PROGRAM FILES\ROGUEKILLER\ROGUEKILLERSVC.EXE
   delref %SystemDrive%\PROGRAM FILES\AVG\ANTIVIRUS\WSC_PROXY.EXE
   delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M
   apply
   
   regt 14
   czoo
   deltmp
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер будет перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS, найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2020-06-30_22-04-27.7z)
7. Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
8. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 20 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
9. В папке с uVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к своему сообщению.

Подробнее читайте в этом руководстве.

[Djkarpaccho]

размер вышел 177 мб. Отправил на почту.
За daemon tools спасибо, не вспомню зачем ставил.

Изменено 30 ноября, 2023 пользователем Djkarpaccho

[Sandor]

п.9 - должен небольшой быть, прикрепите к сообщению.

Также соберите новый образ автозапуска uVS для контроля.

[Djkarpaccho]

PAPERTRAILMANAGER.EXE._906AD1B2BADFE5506A8290386638F73DB0266D6B.txt
Да, текстовый меньше весит

[Sandor]

1 час назад, Sandor сказал:

соберите новый образ автозапуска uVS для контроля

То есть, так, как вы уже делали в этом сообщении.

[Djkarpaccho]

Если речь идет об отчете как в первом посте, то прикрепил.

WIN-HNEIV3OTCBV_2023-11-30_17-25-16_v4.14.1.7z

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
dirzooex %SystemDrive%\PROGRAMDATA\PAPERTRAILMANAGER-18143644-30DA-4BA7-AE35-5CDC3FDAFD11
deldirex %SystemDrive%\PROGRAMDATA\PAPERTRAILMANAGER-18143644-30DA-4BA7-AE35-5CDC3FDAFD11
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\EVNTAGNT.DLL
addsgn A484D7F3156A267855824651D437ED8E61AEE87561FA4621F1F48DC84B9E055D6B63C43F6E3CDD49C0ACEC8F2F56491158B73C1A15DA5B3245EFCC6FC750CADF 64 Mobsync 7

chklst
delvir

apply

deltmp
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\MBSHLEXT.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %Sys32%\DRIVERS\MBAMSWISSARMY.SYS
delref G:\SETUP.EXE
delref E:\SETUP.EXE
delref {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\[CLSID]
delref {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\[CLSID]
;-------------------------------------------------------------

czoo

restart

После перезагрузки добавьте файл дата_времяlog.txt из папки с uVS

Файл ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку в ЛС

 

Создайте новый образ автозапуска для контроля.

[Djkarpaccho]

Сделал. Ссылку в ЛС отправил

WIN-HNEIV3OTCBV_2023-11-30_17-53-02_v4.14.1.7z 2023-11-30_17-46-33_log.txt

[thyrex]

Удалите старые логи FRST.txt и Addition.txt, запустите еще раз Farbar и пришлите новые логи

[safety]

+

Хорошо, теперь после скрипта должно полегчать.

в uVS выполните данный скрипт с автоматической перезагрузкой системы

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
regt 40
regt 42
restart