Перейти к содержанию

Майнер HEUR:Trojan.Win64.Miner.gen


Djkarpaccho

Рекомендуемые сообщения

Библиотека от майнера появилась на компьютере в понедельник 27 ноября в 12:38. Постарайтесь вспомнить, какие Ваши действия этому предшествовали.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1300183375-380368083-2700339491-1001\...\MountPoints2: {ad834188-7e05-11ee-8f87-88d82e988c57} - "E:\autorun.exe" 
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {95F8F5C5-580E-452F-B44E-5FA8165C1B65} - System32\Tasks\GoogleUpdateTaskMachineCore{876A6745-F205-4182-89F7-3D74C427A770} => "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe"  /c (Нет файла)
Task: {7E73AA78-6ABE-4E38-BAFB-CAFD0250D442} - System32\Tasks\GoogleUpdateTaskMachineUA{23E15535-1BB6-40F1-8C6B-584403882A8F} => "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe"  /ua /installsource scheduler (Нет файла)
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
2023-11-27 12:38 - 2023-11-27 12:38 - 001100201 _____ C:\Windows\SysWOW64\bison817.dat
2023-11-16 00:34 - 2023-11-30 09:44 - 000000000 ____D C:\Windows\system32\Tasks\WProxy
FirewallRules: [{3C3D69B4-46F6-4F03-9DE5-75BB9C0BAB33}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣䅋欱⹎硥e => Нет файла
FirewallRules: [{ED4F71A0-9324-44BA-8B72-10EC9DDA984A}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{D4F0068E-CFDD-4A77-9004-0F1B2915E27F}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{CBA8DB66-D6C9-44A5-A63E-A8D02BCC1AEB}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣晶焸攮數 => Нет файла
FirewallRules: [{DB714C93-F680-43AF-AA5E-302E138BD37E}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣䅋欱⹎硥e => Нет файла
FirewallRules: [{FFC18086-A2F8-45EC-8276-0D07BB2A5037}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{6DE4AFC6-8692-447B-AD97-C6D3C801E45B}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{F216FFB3-8ABD-4213-8D1C-3E0480F8F523}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣晶焸攮數 => Нет файла
FirewallRules: [{1ADAD633-ED9A-47AA-921A-0DE5C6585132}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣䅋欱⹎硥e => Нет файла
FirewallRules: [{5C5A652C-1F3D-4D8F-8150-5216480C62B6}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{BAB234CF-4D81-41C6-8437-7A2B1DAC0A4A}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{309542D1-30C5-4F46-9000-AB884BAC2BDD}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣晶焸攮數 => Нет файла
FirewallRules: [{8BB34F4E-7A41-422E-A529-E52E5B21B3BF}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣䅋欱⹎硥e => Нет файла
FirewallRules: [{AEEDA648-50E9-4B27-A16C-24EE2D093436}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{DA87B1B9-22BA-4BA7-8787-1E946F251F68}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{C2A3D2CF-2E62-4753-864D-2BE27E96B3C3}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣晶焸攮數 => Нет файла
FirewallRules: [{3BCD6A2D-25A5-4C02-A58D-42B3C7C8C5BB}] => (Allow) C:\Program Files (x86)\Microsoft\EdgeWebView\Application\119.0.2151.97\msedgewebview2.exe => Нет файла
FirewallRules: [{D467AB31-51C9-4A4B-B4FA-A6CDA43C38B3}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)
FirewallRules: [{77D3E514-9C3A-4315-9994-F07AB277DF84}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{46D5F5FC-E0CF-4713-BE60-315B6F3AE401}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{4BF45DD3-89EE-4DB9-A4CC-5BF415CCEE2E}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{2E94AA27-6427-4B85-86D9-B8AE70CB712A}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{8B34F441-22A9-4310-B584-42FBC2B998BA}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C942DEC4-265A-4775-A8A7-2E526EF9382F}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

В понедельник спокойно включил компьютер, работал. С обеда часов с 14 вентиляторы начали работать как не в себя. Вчера уже когда увидел эту же проблему, нашел ее источник.
Допускаю, что может быть что-то могло обновиться автоматом.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Основной путь попадания майнеров - скачивание каких-либо репаков с торрентов, ну ещечерез активаторы офиса или системы. Но нам хотелось бы понять причину появления именно этого варианта.

 

Папку C:\FRST\Quarantine заархивируйте с паролем malware123, выложите на обменник и пришлите ссылку на скачивание мне в личные сообщения 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
Unlock: C:\ProgramData\Kaspersky Lab
Unlock: C:\ProgramData\Kaspersky Lab Setup Files
Unlock: C:\ProgramData\ESET
Unlock: C:\Program Files\Kaspersky Lab
Unlock: C:\Program Files (x86)\Kaspersky Lab
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пробуйте устанавливать антивирус Касперского.
 

Ссылка на комментарий
Поделиться на другие сайты

Готово

антивирусы не дает ставить, сбрасывает. В момент установки в левом верхнем углу появляется подобие окна, но поймать не успеваю, скрипт какой то видимо

Fixlog.txt

Изменено пользователем Djkarpaccho
Ссылка на комментарий
Поделиться на другие сайты

При установке антивируса столкнулся вот с чем, в журнале приложений нашел :
Приложение: Kaspersky Small Office Security -- Ошибка 1406. Невозможно записать значение ProductMenuFolder ключа \SOFTWARE\KasperskyLab\AVP21.9.  Системная ошибка . Убедитесь, что у вас достаточно прав для доступа к этому ключу, или обратитесь в Службу технической поддержки.<<31406>>#

Ссылка на комментарий
Поделиться на другие сайты

Запустите редактор реестра и сделайте экспорт ветки HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node

Выложите экспорт на https://dropmefiles.com и пришлите ссылку на скачивание

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
RegKeyResetSecurity('HKLM', 'SOFTWARE\KasperskyLab');
RegKeyResetSecurity('HKCU', 'SOFTWARE\KasperskyLab');
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пробуйте еще раз устанавливать после перезагрузки.

 

Ссылка на комментарий
Поделиться на другие сайты

Нет, ни Касперский, ни зеленый. Все также в процессе, где-то на 13% процентах, слева вверху отработка скрипта и отказ в установке.
Все тоже самое(
 

Цитата
Приложение: Kaspersky Small Office Security -- Ошибка 1406. Невозможно записать значение ProductMenuFolder ключа \SOFTWARE\KasperskyLab\AVP21.9. Системная ошибка . Убедитесь, что у вас достаточно прав для доступа к этому ключу, или обратитесь в Службу технической поддержки.<<31406>>#
      (NULL)
      (NULL)
      (NULL)
      (NULL)
      (NULL)
       
      7B42353144443446362D454141452D334631452D414237442D3132363034313634303737367D

 

Ссылка на комментарий
Поделиться на другие сайты

Кстати, папку с вирусом удалил, больше не появляется.
Пробовал другие антивирусы поставить, результата нет.
Видимо надо готовиться к перестановке ОС)

Ссылка на комментарий
Поделиться на другие сайты

Сделайте следующее пока не переустановили:

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt
 

Ссылка на комментарий
Поделиться на другие сайты

Впечатление, что программа не отработала до конца. Было уведомление о перезагрузке?

Запустите ещё раз из безопасного режима с поддержкой сети и прикрепите новый лог.

 

Какие именно антивирусы вы пытались установить?

 

После работы AVbr и перезагрузки соберите из нормального режима новые логи FRST.txt и Addition.txt, предварительно отметив галочкой пункт "Файлы за 90 дней".

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Depos1t
      От Depos1t
      Добрый день, пользователи сайта и простые обыватели сети интернет. Хотел решить проблему с подключением Discord и друг скинул прогу которая должна была решить вопрос, но при ее запуске на компе появился троян. Сам Касперский не справляется с его удалением, каждый раз предлагает лечить но при новом запуске опять та же проблема. Прошу, помогите доверчивому пользователю сети интернет избавиться от этой "бяки" без потери файлов и переустановки ОС, заранее благодарен за помощь. Ниже прикрепил скрин того, что касперский обнаружил вирус

    • ptenchik42
      От ptenchik42
      При проверке Касперским находит вирус, удаляет и просит перезагрузить пк, после перезагрузки снова появляется это сообщение, торрент удалил уже, из-за чего может быть и как исправить?
      CollectionLog-2024.11.10-23.01.zip
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • NaaR
      От NaaR
      Добрый день!
      Не получается самостоятельно удалить HEUR:Trojan.Multi.GenBadur.genw . После перезагрузки обнаруживается снова.
      Буду признателен за помощь. Спасибо.CollectionLog-2024.11.01-17.38.zip
    • harmonrosta
      От harmonrosta
      Добрый день, у меня аналогичная проблема, я скачал  Farbar Recovery Scan Tool, просканировал, данные в архиве прикладываю, подскажите как сделать к од для исправления проблемы?
      папка.zip Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...