trojan.win64.miner.gen Обнаружен вирус - Trojan.Win64.Miner.gen

30 декабря, 2023

Добрый день, Kaspersky Internet Security обнаружил Trojan.Win64.Miner.gen (SwiftRescue.exe). В автоматическом режиме вирус не лечится. После перезагрузки появляется опять.

CollectionLog-2023.12.30-10.39.zip

новые логи:

DESKTOP-1E2DRCJ_2023-12-30_14-23-32_v4.14.7z

FRST.txt

Изменено 30 декабря, 2023 пользователем safety

30 декабря, 2023

подготовьте, пожалуйста, следующие логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

30 декабря, 2023

@VASILIY13,

Читаем внимательно инструкции в последнем сообщении, и делаем все последовательно. полученные логи дублируем в ЛС.

30 декабря, 2023

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzooex %SystemDrive%\PROGRAMDATA\SWIFTRESCUE-7877F6D8-0F74-40FA-BCC2-083880070E7A
deldirex %SystemDrive%\PROGRAMDATA\SWIFTRESCUE-7877F6D8-0F74-40FA-BCC2-083880070E7A
zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
;------------------------autoscript---------------------------

delall %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
delref E:\HISUITEDOWNLOADER.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKBBIDHFPLPEGEMHLBCFBOALCJDMGEBAP%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SYSWOW64\HASPLMV.EXE
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\MNGVTXMRHQTYSTZLW\EROWZDMZFLWBUWL\FVCIMCY.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {5AA199A0-1CED-43A5-9B85-3226086738A3}\[CLSID]
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\DRIVERS\UMDF\WUDFUSBCCIDDRIVER.DLL
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\WINDOWSANYTIMEUPGRADERESULTS.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\AMUSTOR.SYS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\E_S756E.TMP
delref %SystemRoot%\TEMP\DC819895-4931-423A-81B9-08F00AE2C0F9\DISMHOST.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
regt 40
regt 42
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

+

жду от вас логи FRST:

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Изменено 30 декабря, 2023 пользователем safety

30 декабря, 2023

Все заработало, касперский больше не ругается и зараженный файл после перезагрузки исчез!!!

30 декабря, 2023

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ

GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ

Task: {998EF949-FA93-4C7C-A34C-DED0B5903BD9} - System32\Tasks\AdLock Update Task-S-1-5-21-3544773864-1516072268-2586960861-1001 => C:\WINDOWS\System32\msiexec.exe [69632 2023-11-14] (Microsoft Corporation) [Файл не подписан] -> /i "C:\Users\user\AppData\Local\Programs\ivanovsasha224\f8a2d56d85.msi" /quiet CHROME=1

2023-12-24 21:17 - 2023-12-24 21:17 - 001189151 _____ C:\WINDOWS\SysWOW64\unit646.dat

EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

4 января, 2024

+

В завершении:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении

trojan.win64.miner.gen Обнаружен вирус - Trojan.Win64.Miner.gen

Рекомендуемые сообщения

VASILIY13

safety

safety

safety

VASILIY13

safety

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum