evntagnt.dll [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen DriveTuner.exe

[Vladimir1]

Здравствуйте.

По последним темам вижу много майнеров этих появилось, и тоже попал...

Касперский антивирус находит DriveTuner.exe в скрытой папке в ProgramData , удаляет экзешник только, но он потом возвращается. Пробовал полностью удалить папку - тоже вернулась. Делал полную проверку Касперским, что-то нашел, удалил, но не помогло тоже.

 

CollectionLog-2023.12.01-18.05.zip

[safety]

winproxy\winproxy.exe+sysWOW64\evntagnt.dll+e628681b5d.msi+*DriveTuner*

 

Добавьте, пожалуйста, логи FRST

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 1 декабря, 2023 пользователем safety

[Vladimir1]

Addition.txtFRST.txt

WIN-H02M23UVA6G_2023-12-02_19-24-28_v4.14.1.7z

Во время формирования образа в uVS видел записи "Нет доступа к файлу, возможно файл защищен [ C:\PROGRAMDATA\DRIVETUNER-61B2C0AF-3FBB-4BDF-8DC7-29A51DCF72BF\DRIVETUNER.EXE ] ". Возможно это потому, что касперский в этот момент заблокировал экзешник этот. Или касперского отключить вообще надо было перед запуском uVS ? 

 

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\EVNTAGNT.DLL
zoo C:\Windows\SysWOW64\help414.dat
delall C:\Windows\SysWOW64\help414.dat
dirzooex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
deldirex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
dirzooex %SystemDrive%\PROGRAMDATA\DRIVETUNER-61B2C0AF-3FBB-4BDF-8DC7-29A51DCF72BF
deldirex %SystemDrive%\PROGRAMDATA\DRIVETUNER-61B2C0AF-3FBB-4BDF-8DC7-29A51DCF72BF
;------------------------autoscript---------------------------

addsgn A484CFF0156A2678558246979037ED8E61AEE87561FA4621F1F48DC84B9E055D6B63C43F563FDD49C0ACECB72C56491158B7041B15DA5B3245C7CD6FC750CA81 64 Mobsync 7

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHAKFNGEBHNAMFLPHKANEOBCOANABCGFL%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

regt 40
restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено 21 декабря, 2023 пользователем safety

[Vladimir1]

В ходе обработки скрипта вылезло предложение удалить службу, выбрал ДА.

 

В конце скрипта вышла ошибка с zoo rar , но вроде архивы создались, 7z скинул в личку.

 

В ProgramData остались остатки, удалил вручную.

 

Сутки работает комп, ничего вроде не вылезает больше. Касперский тоже не жалуется. Спасибо.

 

2023-12-03_18-50-06_log.txt

[safety]

Да, все верно сделали.

Удаление файлов...
C:\WINDOWS\SYSWOW64\EVNTAGNT.DLL будет удален после перезагрузки
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 2 из 2
Удалено файлов: 0 из 1

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
CloseProcesses:
SystemRestore: On
(svchost.exe ->) (WProxy) [Файл не подписан] C:\Program Files\WProxy\WinProxy\WinProxy.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {4E47DDB8-59AA-4CAD-9986-9DA8079675F5} - System32\Tasks\notch-S-1-5-21-2646892397-351146008-298981092-1001 => C:\Windows\System32\msiexec.exe [69632 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\Vladimir\AppData\Local\Programs\ad53739afdc8a9\e628681b5d.msi" /quiet CHROME=1
Task: {D964EC51-F85B-4713-ADCB-D43A936603A6} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe [137216 2023-07-01] (WProxy) [Файл не подписан]
2023-11-30 19:55 - 2023-12-02 18:33 - 000000000 __SHD C:\ProgramData\DriveTuner-61b2c0af-3fbb-4bdf-8dc7-29a51dcf72bf
2023-11-18 20:17 - 2023-11-18 20:17 - 000000000 ____D C:\Windows\system32\Tasks\WProxy
2023-11-18 20:17 - 2023-11-18 20:17 - 000000000 ____D C:\Program Files\WProxy
2023-11-27 12:10 C:\ProgramData\RDP Wrapper
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

[Vladimir1]

Fixlog.txt

 

Жалоб нет.

[safety]

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".