evntagnt.dll [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen DriveTuner.exe

1 декабря, 2023

Здравствуйте.

По последним темам вижу много майнеров этих появилось, и тоже попал...

Касперский антивирус находит DriveTuner.exe в скрытой папке в ProgramData , удаляет экзешник только, но он потом возвращается. Пробовал полностью удалить папку - тоже вернулась. Делал полную проверку Касперским, что-то нашел, удалил, но не помогло тоже.

CollectionLog-2023.12.01-18.05.zip

1 декабря, 2023

winproxy\winproxy.exe+sysWOW64\evntagnt.dll+e628681b5d.msi+*DriveTuner*

Добавьте, пожалуйста, логи FRST

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 1 декабря, 2023 пользователем safety

2 декабря, 2023

Addition.txt FRST.txt

WIN-H02M23UVA6G_2023-12-02_19-24-28_v4.14.1.7z

Во время формирования образа в uVS видел записи "Нет доступа к файлу, возможно файл защищен [ C:\PROGRAMDATA\DRIVETUNER-61B2C0AF-3FBB-4BDF-8DC7-29A51DCF72BF\DRIVETUNER.EXE ] ". Возможно это потому, что касперский в этот момент заблокировал экзешник этот. Или касперского отключить вообще надо было перед запуском uVS ?

3 декабря, 2023

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\EVNTAGNT.DLL
zoo C:\Windows\SysWOW64\help414.dat
delall C:\Windows\SysWOW64\help414.dat
dirzooex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
deldirex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
dirzooex %SystemDrive%\PROGRAMDATA\DRIVETUNER-61B2C0AF-3FBB-4BDF-8DC7-29A51DCF72BF
deldirex %SystemDrive%\PROGRAMDATA\DRIVETUNER-61B2C0AF-3FBB-4BDF-8DC7-29A51DCF72BF
;------------------------autoscript---------------------------

addsgn A484CFF0156A2678558246979037ED8E61AEE87561FA4621F1F48DC84B9E055D6B63C43F563FDD49C0ACECB72C56491158B7041B15DA5B3245C7CD6FC750CA81 64 Mobsync 7

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHAKFNGEBHNAMFLPHKANEOBCOANABCGFL%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

regt 40
restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено 21 декабря, 2023 пользователем safety

4 декабря, 2023

В ходе обработки скрипта вылезло предложение удалить службу, выбрал ДА.

В конце скрипта вышла ошибка с zoo rar , но вроде архивы создались, 7z скинул в личку.

В ProgramData остались остатки, удалил вручную.

Сутки работает комп, ничего вроде не вылезает больше. Касперский тоже не жалуется. Спасибо.

2023-12-03_18-50-06_log.txt

5 декабря, 2023

Да, все верно сделали.

Удаление файлов...
C:\WINDOWS\SYSWOW64\EVNTAGNT.DLL будет удален после перезагрузки
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 2 из 2
Удалено файлов: 0 из 1

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
(svchost.exe ->) (WProxy) [Файл не подписан] C:\Program Files\WProxy\WinProxy\WinProxy.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {4E47DDB8-59AA-4CAD-9986-9DA8079675F5} - System32\Tasks\notch-S-1-5-21-2646892397-351146008-298981092-1001 => C:\Windows\System32\msiexec.exe [69632 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\Vladimir\AppData\Local\Programs\ad53739afdc8a9\e628681b5d.msi" /quiet CHROME=1
Task: {D964EC51-F85B-4713-ADCB-D43A936603A6} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe [137216 2023-07-01] (WProxy) [Файл не подписан]
2023-11-30 19:55 - 2023-12-02 18:33 - 000000000 __SHD C:\ProgramData\DriveTuner-61b2c0af-3fbb-4bdf-8dc7-29a51dcf72bf
2023-11-18 20:17 - 2023-11-18 20:17 - 000000000 ____D C:\Windows\system32\Tasks\WProxy
2023-11-18 20:17 - 2023-11-18 20:17 - 000000000 ____D C:\Program Files\WProxy
2023-11-27 12:10 C:\ProgramData\RDP Wrapper
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

12 декабря, 2023

Fixlog.txt

Жалоб нет.

13 декабря, 2023

В завершении:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении

18 декабря, 2023

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

evntagnt.dll [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen DriveTuner.exe

Рекомендуемые сообщения

Vladimir1 0

Ссылка на сообщение

Поделиться на другие сайты

safety 107

Ссылка на сообщение

Поделиться на другие сайты

Vladimir1 0

Ссылка на сообщение

Поделиться на другие сайты

safety 107

Ссылка на сообщение

Поделиться на другие сайты

Vladimir1 0

Ссылка на сообщение

Поделиться на другие сайты

safety 107

Ссылка на сообщение

Поделиться на другие сайты

Vladimir1 0

Ссылка на сообщение

Поделиться на другие сайты

safety 107

Ссылка на сообщение

Поделиться на другие сайты

safety 107

Ссылка на сообщение

Поделиться на другие сайты

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum