Перейти к содержанию

[РЕШЕНО] HEUR:Trojan.Win64.Miner.gen DriveTuner.exe


Рекомендуемые сообщения

Здравствуйте.

По последним темам вижу много майнеров этих появилось, и тоже попал...

Касперский антивирус находит DriveTuner.exe в скрытой папке в ProgramData , удаляет экзешник только, но он потом возвращается. Пробовал полностью удалить папку - тоже вернулась. Делал полную проверку Касперским, что-то нашел, удалил, но не помогло тоже.

 

1.jpg

2.jpg

CollectionLog-2023.12.01-18.05.zip

Ссылка на сообщение
Поделиться на другие сайты
  • Vladimir1 changed the title to HEUR:Trojan.Win64.Miner.gen DriveTuner.exe

winproxy\winproxy.exe+sysWOW64\evntagnt.dll+e628681b5d.msi+*DriveTuner*

 

Добавьте, пожалуйста, логи FRST

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Addition.txtFRST.txt

WIN-H02M23UVA6G_2023-12-02_19-24-28_v4.14.1.7z

Во время формирования образа в uVS видел записи "Нет доступа к файлу, возможно файл защищен [ C:\PROGRAMDATA\DRIVETUNER-61B2C0AF-3FBB-4BDF-8DC7-29A51DCF72BF\DRIVETUNER.EXE ] ". Возможно это потому, что касперский в этот момент заблокировал экзешник этот. Или касперского отключить вообще надо было перед запуском uVS ? 

 

1.jpg

Ссылка на сообщение
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\EVNTAGNT.DLL
zoo C:\Windows\SysWOW64\help414.dat
delall C:\Windows\SysWOW64\help414.dat
dirzooex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
deldirex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
dirzooex %SystemDrive%\PROGRAMDATA\DRIVETUNER-61B2C0AF-3FBB-4BDF-8DC7-29A51DCF72BF
deldirex %SystemDrive%\PROGRAMDATA\DRIVETUNER-61B2C0AF-3FBB-4BDF-8DC7-29A51DCF72BF
;------------------------autoscript---------------------------

addsgn A484CFF0156A2678558246979037ED8E61AEE87561FA4621F1F48DC84B9E055D6B63C43F563FDD49C0ACECB72C56491158B7041B15DA5B3245C7CD6FC750CA81 64 Mobsync 7

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHAKFNGEBHNAMFLPHKANEOBCOANABCGFL%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

regt 40
restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

В ходе обработки скрипта вылезло предложение удалить службу, выбрал ДА.

1.thumb.jpg.644203e464a557e80ebed2899d47c262.jpg

 

В конце скрипта вышла ошибка с zoo rar , но вроде архивы создались, 7z скинул в личку.

2.thumb.jpg.0142fb6300c5dae9f970d438cb3cb475.jpg

 

В ProgramData остались остатки, удалил вручную.

3.thumb.jpg.113dd7a521b56b2b438df1e0af712848.jpg

 

Сутки работает комп, ничего вроде не вылезает больше. Касперский тоже не жалуется. Спасибо.

 

2023-12-03_18-50-06_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Да, все верно сделали.

Удаление файлов...
C:\WINDOWS\SYSWOW64\EVNTAGNT.DLL будет удален после перезагрузки
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 2 из 2
Удалено файлов: 0 из 1

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
CloseProcesses:
SystemRestore: On
(svchost.exe ->) (WProxy) [Файл не подписан] C:\Program Files\WProxy\WinProxy\WinProxy.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {4E47DDB8-59AA-4CAD-9986-9DA8079675F5} - System32\Tasks\notch-S-1-5-21-2646892397-351146008-298981092-1001 => C:\Windows\System32\msiexec.exe [69632 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\Vladimir\AppData\Local\Programs\ad53739afdc8a9\e628681b5d.msi" /quiet CHROME=1
Task: {D964EC51-F85B-4713-ADCB-D43A936603A6} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe [137216 2023-07-01] (WProxy) [Файл не подписан]
2023-11-30 19:55 - 2023-12-02 18:33 - 000000000 __SHD C:\ProgramData\DriveTuner-61b2c0af-3fbb-4bdf-8dc7-29a51dcf72bf
2023-11-18 20:17 - 2023-11-18 20:17 - 000000000 ____D C:\Windows\system32\Tasks\WProxy
2023-11-18 20:17 - 2023-11-18 20:17 - 000000000 ____D C:\Program Files\WProxy
2023-11-27 12:10 C:\ProgramData\RDP Wrapper
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

Ссылка на сообщение
Поделиться на другие сайты

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Kapsin
      От Kapsin
      При нажатии ПКМ в безопасном режиме на анти вирус или при запуске приложения от имени админа - мерцает экран и всё сбрасывается ( это со всеми приложениями )

      Запись экрана 1 Экранная Камера 18 февраля.mp4  
    • АнтонРоманович
      От АнтонРоманович
      Добрый день!
      Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen
      KIS его находит сразу при включении и просит Лечение с перезагрузкой. После перезагрузки компьютера, всё по новой.
      Пробовал удалить вручную папку, которую указал KIS, но она восстанавливается.
      Подскажите, что делать? Спасибо

      В общем, тоже самое, что и  https://forum.kasperskyclub.ru/topic/421091-resheno-heurtrojanwin64minergen-kak-udalit-jetot-virus/
      FRST.txt Addition.txt
    • SKINKS
      От SKINKS
      Пробовал удалять через DrWeb.Cureit ничего не помогло, вирус снова появляется через некоторое время
    • ZeroFoX1
      От ZeroFoX1
      Заметил повышение температуры на процессоре, открыл диспетчер задач и заметил процесс label.exe. Снял задачу и резко упала температура с нагрузкой.
      Подозреваю что это майнер. Антивирус не видит. Подскажите, как такое удалять?
    • White Phoenix
      От White Phoenix
      Добрый вечер. Никак не могу удалить "NET:MALWARE.URL" данный вирус, фпс в играх просел со 120 до 40, система тоже лагает. Помогите пожалуйста!
      CollectionLog-2024.02.12-01.04.zip
×
×
  • Создать...