evntagnt.dll [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen

[Sergus90 0]

Помогите удалить HEUR:Trojan.Win64.Miner.gen 

Fixlog.txt

вот лог

 

[Sergus90 0]

 Касперский приостановил и майнер щас работает по полной а вирус находил под таким логом C:\ProgramData\TileDataNetwork-ba00c230-6183-4f3e-944f-35140b43215a

 

 

 

 

CollectionLog-2023.12.02-22.07.zip

 

FRST.txt Addition.txt

 

AV_block_remove_2023.12.02-23.01.log

 

Просканировал еще раз . потом через команду фикса запутсил а толку ноль майнер все так же работает , вот еще раз просканировал может вы увидите что то еще 

FRST.txt Addition.txt

 

Fixlog.txt

[safety 80]

evntagnt.dll+bison099.dat+*TileDataNetwork*

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 3 декабря, 2023 пользователем safety

[Sergus90 0]

HOME-PC_2023-12-03_13-03-02_v4.14.1.7z

 

почему  текстовый файл такой  кривой не понимаю .

[safety 80]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzooex %SystemDrive%\PROGRAMDATA\TILEDATANETWORK-BA00C230-6183-4F3E-944F-35140B43215A
deldirex %SystemDrive%\PROGRAMDATA\TILEDATANETWORK-BA00C230-6183-4F3E-944F-35140B43215A
zoo C:\Windows\SysWOW64\bison099.dat
delall C:\Windows\SysWOW64\bison099.dat
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\EVNTAGNT.DLL
addsgn A484DFF3156A2678558246D38A37ED8E61AEE87561FA4621F1F48DC84B9E055D6B63C43F663CDD49C0ACEC872F56491158B7341A15DA5B3245D7CC6FC750CA5D 64 Mobsync 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDGKIBCAKFNHCNIJAKEOBJIFGHGANMOJN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref %SystemRoot%\SYSWOW64\HD\HYBRIDDRIVECACHEPREPOPULATE.JAR
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\85.0.564.67\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2011.6-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\EAANTICHEAT.SYS
delref %SystemDrive%\USERS\D899~1\APPDATA\LOCAL\TEMP\HWINFO64A_187.SYS
delref F:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\USERS\D899~1\APPDATA\LOCAL\TEMP\.OPERA\238F4C045B43\INSTALLER.EXE
delref %SystemDrive%\PROGRAMDATA\GESTURE-DEFEND\BIN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MSI AFTERBURNER\MSIAFTERBURNER.EXE
;-------------------------------------------------------------

regt 40
regt 42
restart
czoo

После перезарузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

3 minutes ago, Sergus90 said:

почему  текстовый файл такой  кривой не понимаю .

Это структурированный файл, если вы имеете ввиду образ автозапуска.

[Sergus90 0]

вот https://disk.yandex.ru/d/8-hRa-j3zCGMcQ

2023-12-03_13-26-33_log.txt

вроде все хорошо , майнер не заработал .

[safety 80]

Проблема с майнером должна решиться.

Quote

Удаление файлов...
C:\WINDOWS\SYSWOW64\EVNTAGNT.DLL будет удален после перезагрузки
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 2 из 2
Удалено файлов: 0 из 1

Проверьте систему в работе, напишите нам по результату.

[Sergus90 0]

да все хорошо , спасибо вам огромное что уделили время , а то вчера он мне все нервы вымотал) 

[safety 80]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

[Sergus90 0]

SecurityCheck.txt

[safety 80]

Примите к сведению информацию, если необходимо обновить программы - выполните обновление.

 

Quote

Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба остановлена
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
 

---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
Kaspersky (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky (включен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky v.21.15.8.493
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10404.20013 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.27.0.120 v.3.27.0.120
Steam v.2.10.91.91
Epic Games Launcher v.1.3.82.0
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.24 (64-bit) v.6.24.0
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9018 Внимание! Скачать обновления
Telegram Desktop v.4.11.7 [+]
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.6.2 [+]
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 17.9.4 Full v.17.9.4
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 104.0.4944.80 v.104.0.4944.80 [+]
Microsoft Edge v.119.0.2151.93 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Service 21.15 (AVP21.15) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\avp.exe v.21.4.0.0
C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\avpui.exe v.21.15.8.493
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба остановлена
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба остановлена

 

Изменено 3 декабря, 2023 пользователем safety

[Sergus90 0]

хорошо , спасибо

 

[safety 80]

Папку с uVS можно удалить, FRST.exe переименуйте в uninstall.exe и запустите от имени Администратора, для очистки созданного карантина.

[safety 80]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".