trojan.win64.miner.gen Обнаружен вирус - Trojan.Win64.Miner.gen

[VASILIY13]

Добрый день, Kaspersky Internet Security обнаружил Trojan.Win64.Miner.gen (SwiftRescue.exe). В автоматическом режиме вирус не лечится. После перезагрузки появляется опять.

CollectionLog-2023.12.30-10.39.zip

CollectionLog-2023.12.30-10.39.zip

новые логи:

DESKTOP-1E2DRCJ_2023-12-30_14-23-32_v4.14.7z

FRST.txt

Изменено 30 декабря, 2023 пользователем safety

[safety]

подготовьте, пожалуйста, следующие логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[safety]

@VASILIY13,

Читаем внимательно инструкции в последнем сообщении, и делаем все последовательно. полученные логи дублируем в ЛС.

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzooex %SystemDrive%\PROGRAMDATA\SWIFTRESCUE-7877F6D8-0F74-40FA-BCC2-083880070E7A
deldirex %SystemDrive%\PROGRAMDATA\SWIFTRESCUE-7877F6D8-0F74-40FA-BCC2-083880070E7A
zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
;------------------------autoscript---------------------------

delall %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
delref E:\HISUITEDOWNLOADER.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKBBIDHFPLPEGEMHLBCFBOALCJDMGEBAP%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SYSWOW64\HASPLMV.EXE
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\MNGVTXMRHQTYSTZLW\EROWZDMZFLWBUWL\FVCIMCY.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {5AA199A0-1CED-43A5-9B85-3226086738A3}\[CLSID]
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\DRIVERS\UMDF\WUDFUSBCCIDDRIVER.DLL
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\WINDOWSANYTIMEUPGRADERESULTS.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\AMUSTOR.SYS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\E_S756E.TMP
delref %SystemRoot%\TEMP\DC819895-4931-423A-81B9-08F00AE2C0F9\DISMHOST.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
regt 40
regt 42
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

+

жду от вас логи FRST:

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Изменено 30 декабря, 2023 пользователем safety

[VASILIY13]

Все заработало, касперский больше не ругается и зараженный файл после перезагрузки исчез!!!

[safety]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ

GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ

Task: {998EF949-FA93-4C7C-A34C-DED0B5903BD9} - System32\Tasks\AdLock Update Task-S-1-5-21-3544773864-1516072268-2586960861-1001 => C:\WINDOWS\System32\msiexec.exe [69632 2023-11-14] (Microsoft Corporation) [Файл не подписан] -> /i "C:\Users\user\AppData\Local\Programs\ivanovsasha224\f8a2d56d85.msi" /quiet CHROME=1

2023-12-24 21:17 - 2023-12-24 21:17 - 001189151 _____ C:\WINDOWS\SysWOW64\unit646.dat

EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

[safety]

+

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении