evntagnt.dll [РЕШЕНО] Поймал майнер

[Sos3993]

Зловредное по проявляет активность когда подключается интернет, используется как процессор так и видеокарта на все сто.Но иногда может что-то одно. После же выключения интернета, радиаторы железа сразу остывают, что собственно говорит о прекращении частичной работы по. Но ресурсы как видеопамять так и озу всё равно продолжают потреблятся.

CollectionLog-2023.12.08-23.15.zip

[safety]

SysWOW64\evntagnt.dll+1dc2ef8d5e.msi+WinProxy.exe+srms475.dat+*CodeConstructor*

 

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 8 декабря, 2023 пользователем safety

[Sos3993]

7 часов назад, safety сказал:

SysWOW64\evntagnt.dll+1dc2ef8d5e.msi+WinProxy.exe+srms475.dat+*CodeConstructor*

 

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+

Добавьте, пожалуйста, образ автозапуска системы в uVS.

 

 

FRST.txt Addition.txt DESKTOP-ERFIN66_2023-12-09_07-50-35_v4.14.1.7z

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzooex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
deldirex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
zoo %SystemDrive%\USERS\MINECRAFTIK.DESKTOP-ERFIN66\APPDATA\LOCAL\PROGRAMS\8A1663170489\1DC2EF8D5E.MSI
ZOO C:\Windows\SysWOW64\srms475.dat
delall C:\Windows\SysWOW64\srms475.dat
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\MINECRAFTIK.DESKTOP-ERFIN66\APPDATA\LOCAL\PROGRAMS\8A1663170489\1DC2EF8D5E.MSI
delall %SystemDrive%\PROGRAMDATA\AMERICAN-INCREDIBLE\BIN.EXE
zoo %SystemRoot%\SYSWOW64\EVNTAGNT.DLL
addsgn A484C7F0156A267855824680C237ED8E61AEE87561FA4621F1F48DC84B9E055D6B63C43F5E3FDD49C0ACECBF2C56491158B70C1B15DA5B3245DFCD6FC750CA8E 64 EVNTAGNT 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGGNJJNBJGLLKJLJEMFEOCJLHGPCINEEG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\MINECRAFTIK.DESKTOP-ERFIN66\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\MINECRAFTIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\21.220.1024.0005\AMD64\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\MINECRAFTIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\21.220.1024.0005\FILESYNCSHELL.DLL
delref %SystemDrive%\USERS\MINECRAFTIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
delref %SystemDrive%\USERS\MINECRAFTIK\APPDATA\LOCAL\DISCORD\UPDATE.EXE
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\AQSGXJSF.SYS

regt 40
;-------------------------------------------------------------

restart
czoo

После перезарузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

[safety]

Далее, в FRST

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
2023-12-03 16:56 - 2023-12-08 22:35 - 000000000 __SHD C:\ProgramData\CodeConstructor-50a35aae-cb0f-413a-a072-0d3ee8bc2bbf
2023-12-03 16:55 - 2023-12-03 16:55 - 001216301 _____ C:\Windows\SysWOW64\srms475.dat
2023-12-03 16:55 - 2023-12-03 16:55 - 000106512 _____ (Microsoft Corporation) C:\Windows\SysWOW64\evntagnt.dll
(svchost.exe ->) (WProxy) [Файл не подписан] C:\Program Files\WProxy\WinProxy\WinProxy.exe
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {A28453ED-3BE7-413A-89E3-3488087902E2} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe [137216 2023-07-01] (WProxy) [Файл не подписан]
2023-12-01 04:56 - 2023-12-01 04:56 - 000000000 _RSHD C:\ProgramData\WindowsTask
2023-12-01 04:56 - 2023-12-01 04:56 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2023-12-01 04:56 - 2023-12-01 04:56 - 000000000 _RSHD C:\ProgramData\Setup
2023-12-01 04:56 - 2023-12-01 04:56 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2023-12-01 04:56 - 2023-12-01 04:56 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2023-12-01 04:56 - 2023-12-01 04:56 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2023-12-01 04:56 C:\Program Files\RDP Wrapper
2023-12-01 04:56 C:\ProgramData\RDP Wrapper
2023-12-01 04:56 C:\ProgramData\ReaItekHD
2023-12-01 04:56 C:\ProgramData\Setup
2023-12-01 04:56 C:\ProgramData\Windows Tasks Service
2023-12-01 04:56 C:\ProgramData\WindowsTask
FirewallRules: [{AE5DF3E8-E744-459A-9297-F175B52A9910}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (WProxy) [Файл не подписан]
FirewallRules: [{ED41E15F-8880-4CC8-8DF7-C3182F5C0641}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (WProxy) [Файл не подписан]
FirewallRules: [{C66E5CA8-144E-4F17-8C9B-5C49277A79C4}] => (Allow) 㩃啜敳獲䵜义䍅䅒呆䭉䐮卅呋偏䔭䙒义㘶䅜灰慄慴剜慯業杮瑜捯䩜䥬ㅕ攮數 => Нет файла
FirewallRules: [{59CA9286-EB24-43E4-A764-AE6F688A0518}] => (Allow) 㩃啜敳獲䵜义䍅䅒呆䭉䐮卅呋偏䔭䙒义㘶䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{6FCA665D-6320-4BEA-8B5F-4C3332430153}] => (Allow) 㩃啜敳獲䵜义䍅䅒呆䭉䐮卅呋偏䔭䙒义㘶䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{EE05FD60-22D1-42EF-AD1C-286B4282D0C0}] => (Allow) 㩃啜敳獲䵜义䍅䅒呆䭉䐮卅呋偏䔭䙒义㘶䅜灰慄慴剜慯業杮瑜捯扜楫⸰硥e => Нет файла
FirewallRules: [{B8BE6507-9A9D-4FAB-8E0F-46BE2813E6DC}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{8722D586-9F9D-4F65-A4AA-152720321319}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

Изменено 9 декабря, 2023 пользователем safety

[Sos3993]

1 час назад, safety сказал:

 

После перезарузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Пока не наблюдаю нагрузки. Нужно какое-то время, но вроде моя проблема устранена. 

2023-12-09_10-25-47_log.txt Fixlog.txt

[safety]

Да, управляющая служба удалилась после перезагрузки.

Удаление файлов...
C:\WINDOWS\SYSWOW64\EVNTAGNT.DLL будет удален после перезагрузки

DrWeb Trojan.Loader.1907
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 2 из 2
Удалено файлов: 0 из 1

 

C:\ProgramData\CodeConstructor-50a35aae-cb0f-413a-a072-0d3ee8bc2bbf => успешно перемещены

-------------

Какие то манипуляции выполняли до создания образа  автозапуска в uVS?

закрытие процессов, удаление папок с подозрительными файлами

Изменено 9 декабря, 2023 пользователем safety

[Sos3993]

 

4 минуты назад, safety сказал:

Какие то манипуляции выполняли до создания образа  автозапуска в uVS?

закрытие процессов, удаление папок с подозрительными файлами

Прежде чем обратится на форум я удалял какие-то файлы, делал откат системы. И всё это советы других людей.

[safety]

Хорошо. Понаблюдайте за проблемой, если будет откат ситуации, сразу обращайтесь на наш технический форум.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

Изменено 9 декабря, 2023 пользователем safety

[Sos3993]

Готово

SecurityCheck.txt

[safety]

Рекомендуем обновить программы до актуальных версий

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.23 (64-разрядная) v.6.23.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9019 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u391-windows-x64.exe - Windows Offline (64-bit))^

 

 

Изменено 9 декабря, 2023 пользователем safety

[Sos3993]

Я так понимаю, если смотреть по логам то у меня всё хорошо,больше ничего делать не надо?

[safety]

Да, обновите программы и на этом закончим очистку системы.

[Sos3993]

Спасибо огромное за помощь. Удачи и хорошего дня.

 

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".