Перейти к содержанию

[РЕШЕНО] Неудаляемый Майнер HEUR:Trojan.Win64.Miner.gen c/ProgramData/MediaMasterPro


misiyevich

Рекомендуемые сообщения

Сегодня утром ни с того ни с сего ноут нагрелся на максимум, вентиляторы разогнались, а в процессах - нагрузки нет! В безопасном режиме запустил KVRT - нашел майнер. Удалил.

Перезапуск компа - майнер на месте, процессор кипяток, в диспетчере задач - пусто (ничего необычного). Помогите пожалуйста!

Ссылка на комментарий
Поделиться на другие сайты

вот логи. Но учтитывайте, что перед логами я удалил папку с вирусом С/ProgramData/MediaMasterPro

CollectionLog-2023.12.04-22.58.zip

 

Благодаря логам понял что вредоносный процесс - клон label.exe

C:\ProgramData\MediaMasterPro-30215bb8-c435-40a8-87d6-2ef511ff3e8b\label.exe" --algo 144_5 --pers BgoldPoW -i 99 --server 185.180.230.136:8080 --user ARRLXmqTUQrpjcN7P7xnnx1K1gfHQbCTiJ.Zephyr -w 0

завершив его - процессор остыл!! но после перезагрузки - все сначала.

Изменено пользователем misiyevich
Ссылка на комментарий
Поделиться на другие сайты

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

Подготовьте логи анализа системы - мне нужно это сделать 1. после удаления папки с вирусом 2. после удаления папки и завершения вредоносного процесса 3. перезапустить комп, чтобы папка появилась и процесс запустился и тогда запустить анализ 4. без разницы ?

 

Вот логи для 2. после удаления папки и завершения вредоносного процесса:

 

Addition.txtFRST.txt

 

 

Ошибка при start.exe

 

UPD. снова скачал и распаковал архив - запустилось. Прошу прощения за панику.

Ashampoo_Snap_5 декабря 2023 г._09h49m48s_002_.png

После второй попытки получаю ошибку номер 5:

2088676976_Ashampoo_Snap_52023._09h55m00s_004_.png.bcb577c03b7fe8c02309434f1748b615.png

 

Итак, новости - после обновления антивируса нод32 вирус больше не запускал процесс. Однако если в настройках выключить защиту, то вирус снова запускается после перезагрузки.

Также, отключение антивируса помогло запустить start.exe без ошибок и выполнить инструкции. Вот файл автозапуска:

 

DESKTOP-CQHDR0Q_2023-12-05_11-23-49_v4.14.1.7z

Изменено пользователем misiyevich
Ссылка на комментарий
Поделиться на другие сайты

6 часов назад, misiyevich сказал:

Также, отключение антивируса помогло запустить start.exe без ошибок и выполнить инструкции. Вот файл автозапуска:

да, ESET к сожалению добавил детект uVS как рискваре, поэтому можно папку или всю папку с uVS добавить в исключение из обнаружения или добавить в исключение из обнаружения такую строку:

Цитата

 

критерий - любой объект

исключить из обнаружения - Win32/UniversalVirusSniffer.A

 

Программа проверена в работе и применяется на технических форумах уже более 10 лет.

 

Образ сейчас проверю.

 

На момент выполнения скрипта в uVS отключите защиту антивируса, или предварительно добавьте необходимые исключения (выше)

Убедитесь, что uVS запустился после этого корректно.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzoo %SystemDrive%\PROGRAMDATA\MEDIAMASTERPRO-30215BB8-C435-40A8-87D6-2EF511FF3E8B
delall %SystemDrive%\PROGRAMDATA\POET-PORTLAND\BIN.EXE
deldirex %SystemDrive%\PROGRAMDATA\MEDIAMASTERPRO-30215BB8-C435-40A8-87D6-2EF511FF3E8B
deldir %SystemDrive%\PROGRAMDATA\MEDIAMASTERPRO-30215BB8-C435-40A8-87D6-2EF511FF3E8B
ZOO C:\WINDOWS\SysWOW64\srms475.dat
delall C:\WINDOWS\SysWOW64\srms475.dat
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\EVNTAGNT.DLL
addsgn A484C7F0156A267855824680C237ED8E61AEE87561FA4621F1F48DC84B9E055D6B63C43F5E3FDD49C0ACECBF2C56491158B70C1B15DA5B3245DFCD6FC750CA8E 64 EVNTAGNT 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHKMFDIALKJNLJBCNINCGPOLLOBCLEBAF%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\MISIY\APPDATA\LOCAL\BROWSERUPDPHENIX\BROWSERUPDPHENIX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\INTEL\INTEL(R) UPDATE MANAGER\BIN\IUMSVC.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\DYNAMICAPPDOWNLOADER\1.4.122\DADUPDATER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\REMOTEFXVGPUDISABLEMENT.EXE
delref %SystemRoot%\OINSTALL.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B700823E-66A8-4489-8FC0-C0909F3BAF6B}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref {3EF5086B-5478-4598-A054-786C45D75692}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2105.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemRoot%\TEMP\CPUZ148\CPUZ148_X64.SYS
delref %Sys32%\DRIVERS\SEMAV6MSR64.SYS
delref %SystemDrive%\PROGRAM FILES\MICROSOFT UPDATE HEALTH TOOLS\UHSSVC.EXE
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\DOCKER\DOCKER\DOCKER DESKTOP.EXE -AUTOSTART
delref %SystemRoot%\TEMP\6EC9607A-D26E-4300-897D-C8869D2BF8B6\DISMHOST.EXE
delref D:\НОВАЯ ПАПКА\VIEWPLAYCAP.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MICROSOFT.OFFICE.DESKTOP.OUTLOOK_16051.15128.20224.0_X86__8WEKYB3D8BBWE\OFFICE16\OUTLOOK.EXE
delref D:\DOWNLOADS\EOSMSG.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADLM\R20\LTU.EXE
delref D:\COSSACKS 3\COSSACKS.EXE
delref D:\COSSACKS 3\UNINS000.EXE
delref D:\COSSACKS 3\CONFIG.EXE
delref D:\COSSACKS 3\EDITOR.EXE
delref D:\COSSACKS 3\MODMAN.EXE
delref %SystemDrive%\PROGRAMDATA\POET-PORTLAND\UNINS000.EXE
;-------------------------------------------------------------
regt 40
restart
czoo

После перезарузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

При выполнении скрипта выскочило окошко с подтверждением удаления. Я согласился. После перезагрузки ПК:

1. папка c/ProgramData/MediaMasterPro не скрытая

2. в папке c/ProgramData/MediaMasterPro остался всего один файл MediaMasterPro.exe его я удалил вручную вместе с папкой. Корзину очистил. 

Процессов label.exe больше нет.

Вот такое пони:)

1104401361_Ashampoo_Snap_52023._16h13m18s_001_.thumb.png.c4a81a45ca73afac9fce18656cfeb43c.png

 

Огромная благодарность и спасибо за помощь и время!

Ссылку на архив zoo отправил вам в ЛС.

 

P.S. ESET не видел в упор угрозы в этом вирусе. А KVRT видел. Уважаю.

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {28621BB4-1291-42ED-BD0A-0657E3422FC4} - System32\Tasks\Browserupdphenix => %LOCALAPPDATA%\Browserupdphenix\Browserupdphenix.exe  --s=2170A3E7BBC8E11BF31643B1FD05C3CD03B4C9CFECD6B5229774E28DA0BA5024F7C6F92DD0D2079A4C68E6498A --id=1 --sub-id=558 (Нет файла) <==== ВНИМАНИЕ
Task: {E8E94451-B28A-41E9-85F4-CC6671BDDF23} - System32\Tasks\gjNECbPfT => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [493568 2023-12-04] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -EncodedCommand cwB0AGEAcgB0AC0AcAByAG8AYwBlAHMAcwAgAC0AVwBpAG4AZABvAHcAUwB0AHkAbABlACAASABpAGQAZABlAG4AIABnAHAAdQBwAGQAYQB0AGUALgBlAHgAZQAgAC8AZgBvAHIAYwBlAA== <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\WINDOWS\temp\cpuz148\cpuz148_x64.sys [X]
S3 semav6msr64; \??\C:\WINDOWS\system32\drivers\semav6msr64.sys [X]
2023-12-04 09:55 - 2023-12-04 09:55 - 001212717 _____ C:\WINDOWS\SysWOW64\srms475.dat
2023-12-04 09:55 - 2023-12-04 09:55 - 000106512 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\evntagnt.dll
2023-04-27 10:02 C:\Program Files\RDP Wrapper
2023-04-27 10:02 C:\Program Files (x86)\360
2023-04-27 10:02 C:\ProgramData\RDP Wrapper
2023-04-27 10:02 C:\ProgramData\ReaItekHD
2023-04-27 10:02 C:\ProgramData\Setup
2023-04-27 10:02 C:\ProgramData\Windows Tasks Service
2023-04-27 10:02 C:\ProgramData\WindowsTask
AlternateDataStreams: C:\Users\misiy\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\misiy\AppData\Roaming:iSpring Solutions [128]
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

 

И этот файл добавьте, пожалуйста, для контроля выполнения скрипта

добавьте файл Дата_времяlog.txt из папки uVS

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

FRST обновился сам только что. Версия 05-12-2023. После нажатия на кнопку Исправит со скриптом в буфере через какое то время подвис и не отвечает. 

На экране надпись в нем: Удаление временных файлов: C\Users\misiy\AppData\Local\Google\Chrome\User Data\Default\Service Worker

 

Что делать?

Хотя и появился файл Fixlog (перезагрузки не случилось), FRST висит до сих пор и не отвечает. Вот файл:

 

Fixlog.txt

 

файл Дата_времяlog.txt из папки uVS который я выполнял днем (не сейчас в процессе чистки) верно?

2023-12-05_16-07-09_log.txt

 

Итого он с зависаниями но перезагрузил комп, и создано новый Fixlog:

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

по логу uVS все верно сделали.

Удаление файлов...
C:\WINDOWS\SYSWOW64\EVNTAGNT.DLL будет удален после перезагрузки
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 2 из 2
Удалено файлов: 0 из 1

 

по FRST возможно вы раньше нажали исправить, прежде чем FRST обновится и будет готов к действию. Бывают иногда с этим связаны эксцессы.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению, и выполните рекомендации.

--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.24.1.2 v.2.24.1.2 Warning! Download Update
Node.js v.18.12.0 Warning! Download Update
AnyDesk v.ad 7.0.14 Warning! Download Update
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.3.2 (53291.1011) Warning! Download Update
---------------------------- [ ProxyAndVPNs ] -----------------------------
ProtonVPN v.2.3.2 Warning! Download Update
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45505 Warning! Ad-supported P2P-client.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 14.5.5 Full v.14.5.5 Warning! Download Update
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Creative Cloud v.5.3.1.470 Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.109.0 Warning! Download Update

---------------------------- [ UnwantedApps ] -----------------------------
TNod User & Password Finder v.1.6.4.0 Warning! Crack, hacktool or keygen.
Bonjour v.3.1.0.1 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.
Ultimate Ad Eraser 1.0.0.0 v.1.0.0.0 << Hidden Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Нет, это не его корни.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Ultimate Ad Eraser 1.0.0.0 (HKU\S-1-5-21-3667051356-3537930150-2799785790-1001\...\{d594cd32-eb67-460a-be24-f8a8a43a118c}) (Version: 1.0.0.0 - asevcuk865) Hidden
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

После перезагрузки должен появиться в перечне установленных. Если не получится удалить стандартно, удалите принудительно через Geek Uninstaller

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • kudyukovn
      От kudyukovn
      Добрый день, помогите пожалуйста. Словил майнер. Сначала проверил касперским, он его нашел но удалить не смог, после перезагрузки пк вообще перестал видеть его. После переустановки windows 11 майнер остался, на сайты с антивирусами не заходит, а касперский не находит, defender перестал работать.
      Так же до этого комп не включался сутки, горел CPU на материнке. Но сегодня каким то чудом включился.
      Прикрепляю файлы архив от автологера
      CollectionLog-2024.10.14-14.33.zip
      https://imgur.com/a/0O2BObP
      Это отчёт от KVRT
    • Cawt
      От Cawt
      Здравствуйте, поймал вирус CROMIUM:PAGE:MALWARE, вреда он пока нанести не успел, аккаунты взломаны ещё не были, вот только он не удаляется и не лечится ни в какую 😰😭! Нашёл его через Dr.Web Curleit. МНЕ СТРАШНО ПОМОГИТЕ, ОН МОжет совсем скоро начать меня троянами закидывать и данные воровать, мне страшно😭😭😭😭😭
    • thealebs
      От thealebs
      Доброго дня.
      Заметил определенную странность на ноуте-не одно из приложений не устанавливается по причине отсутствия прав администратора.
      Позже увидел в учетках еще одну запись -Jonh. в интернете нашел, что это майнер.
      скачал dr web, вроде как очистил всё, но проблема сохранилась+также учетная запись jonh не удалена.
    • ANHIEL
      От ANHIEL
      словил майнер сам восстанавливается после перезагрузки 
       
×
×
  • Создать...