evntagnt.dll Майнер HEUR:Trojan.Win64.Miner.gen

[Djkarpaccho]

Да, уже нет уведомления, что лезет хворь в автозагрузку и планировщик.

Addition.txt FRST.txt

[thyrex]

Библиотека от майнера появилась на компьютере в понедельник 27 ноября в 12:38. Постарайтесь вспомнить, какие Ваши действия этому предшествовали.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1300183375-380368083-2700339491-1001\...\MountPoints2: {ad834188-7e05-11ee-8f87-88d82e988c57} - "E:\autorun.exe" 
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {95F8F5C5-580E-452F-B44E-5FA8165C1B65} - System32\Tasks\GoogleUpdateTaskMachineCore{876A6745-F205-4182-89F7-3D74C427A770} => "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe"  /c (Нет файла)
Task: {7E73AA78-6ABE-4E38-BAFB-CAFD0250D442} - System32\Tasks\GoogleUpdateTaskMachineUA{23E15535-1BB6-40F1-8C6B-584403882A8F} => "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe"  /ua /installsource scheduler (Нет файла)
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
2023-11-27 12:38 - 2023-11-27 12:38 - 001100201 _____ C:\Windows\SysWOW64\bison817.dat
2023-11-16 00:34 - 2023-11-30 09:44 - 000000000 ____D C:\Windows\system32\Tasks\WProxy
FirewallRules: [{3C3D69B4-46F6-4F03-9DE5-75BB9C0BAB33}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣䅋欱⹎硥e => Нет файла
FirewallRules: [{ED4F71A0-9324-44BA-8B72-10EC9DDA984A}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{D4F0068E-CFDD-4A77-9004-0F1B2915E27F}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{CBA8DB66-D6C9-44A5-A63E-A8D02BCC1AEB}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣晶焸攮數 => Нет файла
FirewallRules: [{DB714C93-F680-43AF-AA5E-302E138BD37E}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣䅋欱⹎硥e => Нет файла
FirewallRules: [{FFC18086-A2F8-45EC-8276-0D07BB2A5037}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{6DE4AFC6-8692-447B-AD97-C6D3C801E45B}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{F216FFB3-8ABD-4213-8D1C-3E0480F8F523}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣晶焸攮數 => Нет файла
FirewallRules: [{1ADAD633-ED9A-47AA-921A-0DE5C6585132}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣䅋欱⹎硥e => Нет файла
FirewallRules: [{5C5A652C-1F3D-4D8F-8150-5216480C62B6}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{BAB234CF-4D81-41C6-8437-7A2B1DAC0A4A}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{309542D1-30C5-4F46-9000-AB884BAC2BDD}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣晶焸攮數 => Нет файла
FirewallRules: [{8BB34F4E-7A41-422E-A529-E52E5B21B3BF}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣䅋欱⹎硥e => Нет файла
FirewallRules: [{AEEDA648-50E9-4B27-A16C-24EE2D093436}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{DA87B1B9-22BA-4BA7-8787-1E946F251F68}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{C2A3D2CF-2E62-4753-864D-2BE27E96B3C3}] => (Allow) 㩃啜敳獲摜歪牡屰灁䑰瑡屡潒浡湩屧潴屣晶焸攮數 => Нет файла
FirewallRules: [{3BCD6A2D-25A5-4C02-A58D-42B3C7C8C5BB}] => (Allow) C:\Program Files (x86)\Microsoft\EdgeWebView\Application\119.0.2151.97\msedgewebview2.exe => Нет файла
FirewallRules: [{D467AB31-51C9-4A4B-B4FA-A6CDA43C38B3}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)
FirewallRules: [{77D3E514-9C3A-4315-9994-F07AB277DF84}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{46D5F5FC-E0CF-4713-BE60-315B6F3AE401}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{4BF45DD3-89EE-4DB9-A4CC-5BF415CCEE2E}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{2E94AA27-6427-4B85-86D9-B8AE70CB712A}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{8B34F441-22A9-4310-B584-42FBC2B998BA}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C942DEC4-265A-4775-A8A7-2E526EF9382F}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Djkarpaccho]

В понедельник спокойно включил компьютер, работал. С обеда часов с 14 вентиляторы начали работать как не в себя. Вчера уже когда увидел эту же проблему, нашел ее источник.
Допускаю, что может быть что-то могло обновиться автоматом.

Fixlog.txt

[thyrex]

Основной путь попадания майнеров - скачивание каких-либо репаков с торрентов, ну ещечерез активаторы офиса или системы. Но нам хотелось бы понять причину появления именно этого варианта.

 

Папку C:\FRST\Quarantine заархивируйте с паролем malware123, выложите на обменник и пришлите ссылку на скачивание мне в личные сообщения 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Unlock: C:\ProgramData\Kaspersky Lab
Unlock: C:\ProgramData\Kaspersky Lab Setup Files
Unlock: C:\ProgramData\ESET
Unlock: C:\Program Files\Kaspersky Lab
Unlock: C:\Program Files (x86)\Kaspersky Lab
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пробуйте устанавливать антивирус Касперского.
 

[Djkarpaccho]

Готово

антивирусы не дает ставить, сбрасывает. В момент установки в левом верхнем углу появляется подобие окна, но поймать не успеваю, скрипт какой то видимо

Fixlog.txt

Изменено 30 ноября, 2023 пользователем Djkarpaccho

[Djkarpaccho]

При установке антивируса столкнулся вот с чем, в журнале приложений нашел :
Приложение: Kaspersky Small Office Security -- Ошибка 1406. Невозможно записать значение ProductMenuFolder ключа \SOFTWARE\KasperskyLab\AVP21.9.  Системная ошибка . Убедитесь, что у вас достаточно прав для доступа к этому ключу, или обратитесь в Службу технической поддержки.<<31406>>#

[thyrex]

Запустите редактор реестра и сделайте экспорт ветки HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node

Выложите экспорт на https://dropmefiles.com и пришлите ссылку на скачивание

[Djkarpaccho]

https://dropmefiles.com/tJTTO
Держите

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
RegKeyResetSecurity('HKLM', 'SOFTWARE\KasperskyLab');
RegKeyResetSecurity('HKCU', 'SOFTWARE\KasperskyLab');
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пробуйте еще раз устанавливать после перезагрузки.

 

[Djkarpaccho]

Нет, ни Касперский, ни зеленый. Все также в процессе, где-то на 13% процентах, слева вверху отработка скрипта и отказ в установке.
Все тоже самое(
 

Цитата

Приложение: Kaspersky Small Office Security -- Ошибка 1406. Невозможно записать значение ProductMenuFolder ключа \SOFTWARE\KasperskyLab\AVP21.9. Системная ошибка . Убедитесь, что у вас достаточно прав для доступа к этому ключу, или обратитесь в Службу технической поддержки.<<31406>>#

(NULL)

(NULL)

(NULL)

(NULL)

(NULL)

7B42353144443446362D454141452D334631452D414237442D3132363034313634303737367D

 

[Djkarpaccho]

Кстати, папку с вирусом удалил, больше не появляется.
Пробовал другие антивирусы поставить, результата нет.
Видимо надо готовиться к перестановке ОС)

[Sandor]

Сделайте следующее пока не переустановили:

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt
 

[Djkarpaccho]

AV_block_remove_2023.12.01-16.21.log

Готово

Addition.txtFRST.txt

После перезагрузки

[Sandor]

Впечатление, что программа не отработала до конца. Было уведомление о перезагрузке?

Запустите ещё раз из безопасного режима с поддержкой сети и прикрепите новый лог.

 

Какие именно антивирусы вы пытались установить?

 

После работы AVbr и перезагрузки соберите из нормального режима новые логи FRST.txt и Addition.txt, предварительно отметив галочкой пункт "Файлы за 90 дней".