evntagnt.dll [РЕШЕНО] Неудаляемый Майнер HEUR:Trojan.Win64.Miner.gen c/ProgramData/MediaMasterPro

[misiyevich 0]

Сегодня утром ни с того ни с сего ноут нагрелся на максимум, вентиляторы разогнались, а в процессах - нагрузки нет! В безопасном режиме запустил KVRT - нашел майнер. Удалил.

Перезапуск компа - майнер на месте, процессор кипяток, в диспетчере задач - пусто (ничего необычного). Помогите пожалуйста!

[misiyevich 0]

вот логи. Но учтитывайте, что перед логами я удалил папку с вирусом С/ProgramData/MediaMasterPro

CollectionLog-2023.12.04-22.58.zip

 

Благодаря логам понял что вредоносный процесс - клон label.exe

C:\ProgramData\MediaMasterPro-30215bb8-c435-40a8-87d6-2ef511ff3e8b\label.exe" --algo 144_5 --pers BgoldPoW -i 99 --server 185.180.230.136:8080 --user ARRLXmqTUQrpjcN7P7xnnx1K1gfHQbCTiJ.Zephyr -w 0

завершив его - процессор остыл!! но после перезагрузки - все сначала.

Изменено 4 декабря, 2023 пользователем misiyevich

[safety 83]

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[misiyevich 0]

Подготовьте логи анализа системы - мне нужно это сделать 1. после удаления папки с вирусом 2. после удаления папки и завершения вредоносного процесса 3. перезапустить комп, чтобы папка появилась и процесс запустился и тогда запустить анализ 4. без разницы ?

 

Вот логи для 2. после удаления папки и завершения вредоносного процесса:

 

Addition.txtFRST.txt

 

 

Ошибка при start.exe

 

UPD. снова скачал и распаковал архив - запустилось. Прошу прощения за панику.

После второй попытки получаю ошибку номер 5:

 

Итак, новости - после обновления антивируса нод32 вирус больше не запускал процесс. Однако если в настройках выключить защиту, то вирус снова запускается после перезагрузки.

Также, отключение антивируса помогло запустить start.exe без ошибок и выполнить инструкции. Вот файл автозапуска:

 

DESKTOP-CQHDR0Q_2023-12-05_11-23-49_v4.14.1.7z

Изменено 5 декабря, 2023 пользователем misiyevich

[safety 83]

6 часов назад, misiyevich сказал:

Также, отключение антивируса помогло запустить start.exe без ошибок и выполнить инструкции. Вот файл автозапуска:

да, ESET к сожалению добавил детект uVS как рискваре, поэтому можно папку или всю папку с uVS добавить в исключение из обнаружения или добавить в исключение из обнаружения такую строку:

Цитата

 

критерий - любой объект

исключить из обнаружения - Win32/UniversalVirusSniffer.A

 

Программа проверена в работе и применяется на технических форумах уже более 10 лет.

 

Образ сейчас проверю.

 

На момент выполнения скрипта в uVS отключите защиту антивируса, или предварительно добавьте необходимые исключения (выше)

Убедитесь, что uVS запустился после этого корректно.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzoo %SystemDrive%\PROGRAMDATA\MEDIAMASTERPRO-30215BB8-C435-40A8-87D6-2EF511FF3E8B
delall %SystemDrive%\PROGRAMDATA\POET-PORTLAND\BIN.EXE
deldirex %SystemDrive%\PROGRAMDATA\MEDIAMASTERPRO-30215BB8-C435-40A8-87D6-2EF511FF3E8B
deldir %SystemDrive%\PROGRAMDATA\MEDIAMASTERPRO-30215BB8-C435-40A8-87D6-2EF511FF3E8B
ZOO C:\WINDOWS\SysWOW64\srms475.dat
delall C:\WINDOWS\SysWOW64\srms475.dat
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\EVNTAGNT.DLL
addsgn A484C7F0156A267855824680C237ED8E61AEE87561FA4621F1F48DC84B9E055D6B63C43F5E3FDD49C0ACECBF2C56491158B70C1B15DA5B3245DFCD6FC750CA8E 64 EVNTAGNT 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHKMFDIALKJNLJBCNINCGPOLLOBCLEBAF%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\MISIY\APPDATA\LOCAL\BROWSERUPDPHENIX\BROWSERUPDPHENIX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\INTEL\INTEL(R) UPDATE MANAGER\BIN\IUMSVC.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\DYNAMICAPPDOWNLOADER\1.4.122\DADUPDATER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\REMOTEFXVGPUDISABLEMENT.EXE
delref %SystemRoot%\OINSTALL.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B700823E-66A8-4489-8FC0-C0909F3BAF6B}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref {3EF5086B-5478-4598-A054-786C45D75692}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2105.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemRoot%\TEMP\CPUZ148\CPUZ148_X64.SYS
delref %Sys32%\DRIVERS\SEMAV6MSR64.SYS
delref %SystemDrive%\PROGRAM FILES\MICROSOFT UPDATE HEALTH TOOLS\UHSSVC.EXE
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\DOCKER\DOCKER\DOCKER DESKTOP.EXE -AUTOSTART
delref %SystemRoot%\TEMP\6EC9607A-D26E-4300-897D-C8869D2BF8B6\DISMHOST.EXE
delref D:\НОВАЯ ПАПКА\VIEWPLAYCAP.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MICROSOFT.OFFICE.DESKTOP.OUTLOOK_16051.15128.20224.0_X86__8WEKYB3D8BBWE\OFFICE16\OUTLOOK.EXE
delref D:\DOWNLOADS\EOSMSG.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADLM\R20\LTU.EXE
delref D:\COSSACKS 3\COSSACKS.EXE
delref D:\COSSACKS 3\UNINS000.EXE
delref D:\COSSACKS 3\CONFIG.EXE
delref D:\COSSACKS 3\EDITOR.EXE
delref D:\COSSACKS 3\MODMAN.EXE
delref %SystemDrive%\PROGRAMDATA\POET-PORTLAND\UNINS000.EXE
;-------------------------------------------------------------
regt 40
restart
czoo

После перезарузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено 5 декабря, 2023 пользователем safety

[misiyevich 0]

При выполнении скрипта выскочило окошко с подтверждением удаления. Я согласился. После перезагрузки ПК:

1. папка c/ProgramData/MediaMasterPro не скрытая

2. в папке c/ProgramData/MediaMasterPro остался всего один файл MediaMasterPro.exe его я удалил вручную вместе с папкой. Корзину очистил. 

Процессов label.exe больше нет.

Вот такое пони:)

 

Огромная благодарность и спасибо за помощь и время!

Ссылку на архив zoo отправил вам в ЛС.

 

P.S. ESET не видел в упор угрозы в этом вирусе. А KVRT видел. Уважаю.

[safety 83]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {28621BB4-1291-42ED-BD0A-0657E3422FC4} - System32\Tasks\Browserupdphenix => %LOCALAPPDATA%\Browserupdphenix\Browserupdphenix.exe  --s=2170A3E7BBC8E11BF31643B1FD05C3CD03B4C9CFECD6B5229774E28DA0BA5024F7C6F92DD0D2079A4C68E6498A --id=1 --sub-id=558 (Нет файла) <==== ВНИМАНИЕ
Task: {E8E94451-B28A-41E9-85F4-CC6671BDDF23} - System32\Tasks\gjNECbPfT => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [493568 2023-12-04] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -EncodedCommand cwB0AGEAcgB0AC0AcAByAG8AYwBlAHMAcwAgAC0AVwBpAG4AZABvAHcAUwB0AHkAbABlACAASABpAGQAZABlAG4AIABnAHAAdQBwAGQAYQB0AGUALgBlAHgAZQAgAC8AZgBvAHIAYwBlAA== <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\WINDOWS\temp\cpuz148\cpuz148_x64.sys [X]
S3 semav6msr64; \??\C:\WINDOWS\system32\drivers\semav6msr64.sys [X]
2023-12-04 09:55 - 2023-12-04 09:55 - 001212717 _____ C:\WINDOWS\SysWOW64\srms475.dat
2023-12-04 09:55 - 2023-12-04 09:55 - 000106512 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\evntagnt.dll
2023-04-27 10:02 C:\Program Files\RDP Wrapper
2023-04-27 10:02 C:\Program Files (x86)\360
2023-04-27 10:02 C:\ProgramData\RDP Wrapper
2023-04-27 10:02 C:\ProgramData\ReaItekHD
2023-04-27 10:02 C:\ProgramData\Setup
2023-04-27 10:02 C:\ProgramData\Windows Tasks Service
2023-04-27 10:02 C:\ProgramData\WindowsTask
AlternateDataStreams: C:\Users\misiy\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\misiy\AppData\Roaming:iSpring Solutions [128]
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

 

И этот файл добавьте, пожалуйста, для контроля выполнения скрипта

добавьте файл Дата_времяlog.txt из папки uVS

 

Изменено 5 декабря, 2023 пользователем safety

[misiyevich 0]

FRST обновился сам только что. Версия 05-12-2023. После нажатия на кнопку Исправит со скриптом в буфере через какое то время подвис и не отвечает. 

На экране надпись в нем: Удаление временных файлов: C\Users\misiy\AppData\Local\Google\Chrome\User Data\Default\Service Worker

 

Что делать?

Хотя и появился файл Fixlog (перезагрузки не случилось), FRST висит до сих пор и не отвечает. Вот файл:

 

Fixlog.txt

 

файл Дата_времяlog.txt из папки uVS который я выполнял днем (не сейчас в процессе чистки) верно?

2023-12-05_16-07-09_log.txt

 

Итого он с зависаниями но перезагрузил комп, и создано новый Fixlog:

Fixlog.txt

[safety 83]

по логу uVS все верно сделали.

Удаление файлов...
C:\WINDOWS\SYSWOW64\EVNTAGNT.DLL будет удален после перезагрузки
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 2 из 2
Удалено файлов: 0 из 1

 

по FRST возможно вы раньше нажали исправить, прежде чем FRST обновится и будет готов к действию. Бывают иногда с этим связаны эксцессы.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

[misiyevich 0]

SecurityCheck.txt

[safety 83]

Примите к сведению, и выполните рекомендации.

--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.24.1.2 v.2.24.1.2 Warning! Download Update
Node.js v.18.12.0 Warning! Download Update
AnyDesk v.ad 7.0.14 Warning! Download Update
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.3.2 (53291.1011) Warning! Download Update
---------------------------- [ ProxyAndVPNs ] -----------------------------
ProtonVPN v.2.3.2 Warning! Download Update
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45505 Warning! Ad-supported P2P-client.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 14.5.5 Full v.14.5.5 Warning! Download Update
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Creative Cloud v.5.3.1.470 Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.109.0 Warning! Download Update

---------------------------- [ UnwantedApps ] -----------------------------
TNod User & Password Finder v.1.6.4.0 Warning! Crack, hacktool or keygen.
Bonjour v.3.1.0.1 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.
Ultimate Ad Eraser 1.0.0.0 v.1.0.0.0 << Hidden Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!

 

Изменено 6 декабря, 2023 пользователем safety

[misiyevich 0]

Я не могу найти Ultimate Ad Eraser. Как мне его удалить?

У меня стоит расширение в Chrome - AdBlock. Может это от него корни..

[Sandor 1 254]

Нет, это не его корни.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  Ultimate Ad Eraser 1.0.0.0 (HKU\S-1-5-21-3667051356-3537930150-2799785790-1001\...\{d594cd32-eb67-460a-be24-f8a8a43a118c}) (Version: 1.0.0.0 - asevcuk865) Hidden
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

После перезагрузки должен появиться в перечне установленных. Если не получится удалить стандартно, удалите принудительно через Geek Uninstaller

[misiyevich 0]

Все сработало. Спасибо огромнейшее за помощь!

Fixlog.txt

[safety 83]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".