Перейти к содержанию
Правила раздела

Trojan:Win64/DisguisedXMRigMiner

rda
 Share

Рекомендуемые сообщения

rda Новичок

rda

Опубликовано
Опубликовано (изменено)

не получается удалить майнер, пытался через FRST, не понял суть)

Trojan:Win64/DisguisedXMRigMiner

Добавил файлы с сканирования FRST

Addition.txt FRST.txt

Изменено пользователем rda
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее. 

Start::
CloseProcesses:
SystemRestore: On
HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\Run: [Admin] => cmd.exe /c start www.dinoraptzor.org (Нет файла)
Task: {5BD8FDE7-ECD0-4BDF-81CA-51E000A4AA3B} - System32\Tasks\Admin => C:\Windows\system32\cmd.exe [289792 2023-11-16] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Admin /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
IE trusted site: HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\webcompanion.com -> hxxp://webcompanion.com
<==== ВНИМАНИЕ
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

+

сделайте логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты
rda Новичок

rda

Опубликовано
  • Автор
Опубликовано
12 часов назад, safety сказал:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее. 


Start::
CloseProcesses:
SystemRestore: On
HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\Run: [Admin] => cmd.exe /c start www.dinoraptzor.org (Нет файла)
Task: {5BD8FDE7-ECD0-4BDF-81CA-51E000A4AA3B} - System32\Tasks\Admin => C:\Windows\system32\cmd.exe [289792 2023-11-16] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Admin /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
IE trusted site: HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\webcompanion.com -> hxxp://webcompanion.com
<==== ВНИМАНИЕ
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

+

сделайте логи по правилам.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

проверьте даты обнаруженных угроз в дефендере: актуальны или более ранние чем текущая.

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
rda Новичок

rda

Опубликовано
  • Автор
Опубликовано

Суть в чем в антивируснике пишет что есть вирус, но его удалть не может так же дата не меняется вот как нашел он его 02.01 так и висит эта дата, просто пишет что угроза активна

DESKTOP-E5M2NL5_2024-01-13_11-23-50_v4.15.1.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Это может быть особенностью работы WinDefender, что он показывает все угрозы, обнаруженные за некоторый период.

можно уменьшить этот период.

 

Образ автозапуска проверю, отвечу в следующем сообщении.

 

Попробуйте это решение применить для очистки журналов.

 

Вот что можно сделать:
 

Quote

1. Уменьшить время хранения журнала угроз безопасности Windows.
В PowerShell от имени администратора выполнить:
Set-MpPreference -ScanPurgeItemsAfterDelay X
Где X количество дней хранения журнала.

2. Принудительно очистить журнал:
- отключаем Защиту в реальном времени (Real-Time protection)
- отключаем Облачную защиту (Cloud protection)
- удаляем папку Service
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
- включаем Защиту в реальном времени (Real-Time protection)
- включаем Облачную защиту (Cloud protection)

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже
  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
apply

deltmp
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\LMS.INF_AMD64_FDDB643595E0B8D0\LMS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\UPDATER\UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\RUXIM\PLUGSCHEDULER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {1FD49718-1D00-4B19-AF5F-070AF6D5D54C}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {9B5F5829-A529-4B12-814A-E81BCB8D93FC}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\85.0.564.63\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\115.0.1901.203\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref {2F603045-309F-11CF-9774-0020AFD0CFF6}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\ELECTRONIC ARTS\EA DESKTOP\EA DESKTOP\EABACKGROUNDSERVICE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Защиту в дефендере отключали? Видимо программы типа totalcomander, или far надо запускать от имени Администратора, чтобы были права на удаление данной папки.

Ссылка на комментарий
Поделиться на другие сайты
rda Новичок

rda

Опубликовано
  • Автор
Опубликовано
1 минуту назад, safety сказал:

Защиту в дефендере отключали? Видимо программы типа totalcomander, или far надо запускать от имени Администратора, чтобы были права на удаление данной папки.

Защита отключена, доступ не дает

image.thumb.png.923865605fe561a7cd06e974f35f0bc7.pngimage.thumb.png.dd316105b4c9c417272287b5921409a3.png

В Powershell тоже выдает ошибку

 

image.thumb.png.fe96340e829480ce9b92f87d1dd71229.png

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Хорошо, пробуйте по первому пункту поставить вместо X единицу. И завтра можно будет проверить (когда пройдет 1 день) появятся в журнале записи с обнаружением или нет.

7 minutes ago, rda said:

В Powershell тоже выдает ошибку

эту команду выполняли? 

Set-MpPreference -ScanPurgeItemsAfterDelay 1

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • cringemachine
      Trojan:Win64/Reflo.HNS!MTB
      От cringemachine
      Добрый день
       
      Не удается удалить зловред Trojan:Win64/Reflo.HNS!MTB.
      После удаления/лечения Защитником с последующей очисткой Исключений, зловред почти сразу появляется и создает исключения. 
       
      Ай нид хелп
    • Shizgael
      обнаружен Trojan:Win64/DisguisedXMRigMiner
      От Shizgael
      microsoft security essential в автономном режиме находит но недолечивает после перезагрузки все возвращается обратно
      + видоизменяет хост добавляя в него все сайты антивирусов с нулевыми IP 
      file: C:\Program Files\Google\Chrome\updater.exe
      file: C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC->(UTF-16LE)
      taskscheduler: C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC
       
       
       
    • APOLLO
      Trojan:Win64/DisguisedXMRigMiner помогите удалить (FRST установил, но не знаю что включать в фикс)
      От APOLLO
      По работе пришлось установить на комп Визио, но цепанул Trojan:Win64/DisguisedXMRigMiner
      На форумах посоветовали через Фабар сделать скан, но что загружать в фикс я не знаю
      FRST и Addition.rar
    • TEMAAAA
      Windows Defender нашел Trojan:Win64/CoinMinerlpz и он не удаляется
      От TEMAAAA
      Нашел этот майнер. Он лежит в папке C:\ProgramData\dcxegsjhaybk\snxixaqsteid.exe
      Удалял и помешал в карантин его антивирусом, потом вручную пытался. В итоге через секунду после удаления эта папка с exe-шником снова создавалась. Помимо это у меня каждый день появляется синий экран смерти с ошибкой VIDEO_TDR_FAILURE (nvlddmkm.sys) и постоянно в диспетчере задач запущен Хост окна консоли, который жрет 30%+ ЦП. Я проверял этот conhost.exe он лежит в папке WIndows/System32 и вроде бы не является копией. Но все ровно что-то тут не то. Надеюсь все эти проблемы связаны с майнером про который рассказал.
      Прикрепляю логи.
      CollectionLog-2024.06.20-14.34.zip
    • Barrrin
      Ошибка Trojan:Win64/Reflo.HNS!MTB и выдача ошибок оперативной памяти
      От Barrrin
      Здравствуйте, позавчера компьютер просто выключился с синим экраном смерти, думал проблема в жестком диске, все проверил все хорошо, думал пройдет просто так пошел играть и просто выдало какую то ошибку что файл игры поврежден и потом опять комп выключился. На след день от антивирусника от windows пишет что обнаружен вирус Trojan:Win64/Reflo.HNS!MTB и его удалить не удается. Скачать программу касперского и показало что якобы проблемыы нет, но мне кажется что вирус сидит в оперативной п амяти, т.к плашки абсолютно хорошо работали до вчерашнего дня и вылазки этой проблемы. Помогите пожалуйста решить данную проблему 
      CollectionLog-2024.06.04-18.24.zip
×
×
  • Создать...