Перейти к содержанию
Правила раздела

[РЕШЕНО] HEUR:Trojan.Win64.Miner.gen помогите удалить...

JunkZerg

Автор JunkZerg
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

JunkZerg

JunkZerg

Опубликовано
Опубликовано (изменено)

Месяц назад по неосторожности установил троян и в тот же день быстрой и полной проверкой Касперского удалил все вредоносные файлы (как я считал по крайней мере). Сегодня вылезло два трояна, которые начали сильно грузить память и потому сразу заметил нагрузку. Один удалился без проблем, а HEUR:Trojan.Win64.Miner.gen после многих перезагрузок отказывается удаляться. Хотя бы вроде не работает. Также заметил, что последний или что-либо еще блокирует полную проверку компьютера антивирусом. Помогите пожалуйста удалить! 

Изменено пользователем JunkZerg
safety

safety

Опубликовано
Опубликовано

подготовьте, пожалуйста, следующие логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже: 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

JunkZerg

JunkZerg

Опубликовано
  • Автор
Опубликовано (изменено)

Выполнил всё по инструкциям, спасибо

DESKTOP-N5D555Q_2024-01-15_03-16-20_v4.15.1.7z FRST.txt Addition.txt

 

Провел более обширную проверку и Касперский начал чудить. Сначала показал, что HEUR:Trojan.Win64.Miner.gen удален, затем через минут еще 10 снова показал, что он есть и отказывался устранить. Теперь показал еще один троян, сразу удалил тот из-за которого весь сыр-бор и справился с удалением нового. Искренне прошу прощения, что так поздно беспокою, просто даже не знаю, что об этом думать. 

Изменено пользователем JunkZerg
safety

safety

Опубликовано
Опубликовано

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\WINDOWS\APPDATA\LOCAL\PROGRAMS\CC558258\A5812DEF1C.MSI
ZOO C:\Windows\SysWOW64\nav563.dat
dirzooex C:\ProgramData\ArchiveNavigator-d4e05187-3c12-4ac8-a79f-191689674b55
deldirex C:\ProgramData\ArchiveNavigator-d4e05187-3c12-4ac8-a79f-191689674b55
delall C:\Windows\SysWOW64\nav563.dat
delall %SystemDrive%\PROGRAMDATA\DUCHESS-CITIZEN\BIN.EXE
zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
addsgn A7679BC9DE37442480A1A234929F997835FFF575B4D2953985C32E9AD328703826943D554B773C09A1C1841A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Miner.gen 7
dirzooex C:\Program Files\WProxy\WinProxy
delall C:\Program Files\WProxy\WinProxy\WinProxy.exe
deldirex C:\Program Files\WProxy\WinProxy

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DINCOGAKFPFACIKBDIDEGNIAODMALNGNN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27

deltmp
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNABFSWK.EXE
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP2LAK.EXE
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP2RPK.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\WINDOWS\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref G:\AACT_X64 (2).EXE
delref G:\AACT_FILES
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref G:\AACT_FILES\KMSSS.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\WINDOWS\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RED SQUARE\KEYROX TKL SKELETON\KEYROX TKL SKELETON.EXE
;-------------------------------------------------------------
REGT 41
restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

safety

safety

Опубликовано
Опубликовано

Такой еще скрипт выполните в uVS для отключения отслеживания процессов и задач

  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE

regt 40
regt 42

restart

 

+ далее

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее. 

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{8B0E89A9-D918-4412-A98E-585D02D11B9F}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{FF263A80-0D3D-49FE-B557-20719035A293}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{969A7C58-ACB4-406D-9015-1EC3FF737308}] => (Allow) 㩃啜敳獲坜湩潤獷䅜灰慄慴剜慯業杮瑜捯䵜㕳䕺攮數 => Нет файла
FirewallRules: [{08F40430-7578-4930-A798-7CFE4CE4296C}] => (Allow) 㩃啜敳獲坜湩潤獷䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{A5AC5850-6EA3-4312-BAA9-ECF8043CB877}] => (Allow) 㩃啜敳獲坜湩潤獷䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{72BF54A3-8E32-4D1C-B2E7-01199534EE76}] => (Allow) 㩃啜敳獲坜湩潤獷䅜灰慄慴剜慯業杮瑜捯婜楧⹌硥e => Нет файла
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2022.lnk:638138415C [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [4298]
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

JunkZerg

JunkZerg

Опубликовано
  • Автор
Опубликовано

Провел еще одну быструю проверку, прилагаю фикслог и оставлю на ночь полную проверку, чтобы убедиться. Необходимо ли сделать что-то еще? 

Fixlog.txt

safety

safety

Опубликовано
Опубликовано

Пока все нормально, система очищена от вирусных тел, ограничений и мусора в системе.

 

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении
JunkZerg

JunkZerg

Опубликовано
  • Автор
Опубликовано

Спасибо вам огромное за помощь в столь поздний час. Очень выручили и успокоили несведущего человека. Файл прилагаю 

SecurityCheck.txt

safety

safety

Опубликовано
Опубликовано

У меня уже ранний час :)  +4 Мск

 

Выполните по возможности  рекомендуемое обновление ПО.

 

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления

Discord v.1.0.9013 Внимание! Скачать обновления

Audacity 3.3.3 v.3.3.3 Внимание! Скачать обновления

Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК

 

 

  • Like (+1) 1
JunkZerg

JunkZerg

Опубликовано
  • Автор
Опубликовано

Закончилась полная проверка и все в порядке. Вы меня простите, если заставил ждать - свалило в сон. Еще раз спасибо огромное, со всеми праздниками Вас!
Можно наверняка отмечать вопрос как решеный 

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

Хорошо, тему закрываю.

Спасибо за добрый отзыв и пожелания! Удачи и будьте внимательны при выборе игрового или другого ПО.

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Clf
      [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen как удалить?
      Автор Clf
      Добрый день!
      Такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Помогите удалить HEUR:Trojan.Win64.Miner.gen

      Прикрепил логи по правилам оформления запроса созданные через AutoLogger

      Также прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool 
      + образ автозапуска в uVS

       
      FRST.txt Addition.txt DENIS_2024-01-24_22-33-29_v4.15.1.7z
      CollectionLog-2024.01.24-23.06.zip
    • Tim7
      [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen как удалить?
      Автор Tim7
      Добрый день!
      Точно такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Подхватил HEUR:Trojan.Win64.Miner.gen, как удалить?
    • Даниил000
      [РЕШЕНО] Как удалить HEUR:Trojan.Win64.Miner.gen
      Автор Даниил000
      Здравствуйте! После удаления вируса и перезагрузки компьютера он появляется снова, помогите удалить пожалуйста
      C:\ProgramData\FlashUploader-bc6638bb-9…4d5-b2b4-2c506539c3bd\FlashUploader.exe
      Походу майнер, грузиться проц и видеокарта.
      frst.zip
    • Aling4r
      Как удалить HEUR:Trojan.Win64.Miner.gen
      Автор Aling4r
      Здравствуйте, подскажите пожалуйста, как удалить HEUR:Trojan.Win64.Miner.gen, KTS при попытке лечения с перезагрузкой, после самой перезагрузки снова показывает что обнаружен этот вирус, при ручном удалении файлов, та же ошибка. Что делать? 
      1.txt
    • Lon1ke
      [РЕШЕНО] Удалить самовосстанавливающийся HEUR:Trojan.Win64.Miner.gen
      Автор Lon1ke
      Касперский обнаружил вредоносное приложение. Пытался несколько раз вылечить, но после перезагрузки ноутбука троян восстанавливается. Расположение: C:\ProgramData\VirtuVault-fe547bd1-1f9a-4234-96be-d457507c1c50
      CollectionLog-2024.04.06-14.40.zip
×
×
  • Создать...