miner.gen [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen помогите удалить...

[JunkZerg 1]

Месяц назад по неосторожности установил троян и в тот же день быстрой и полной проверкой Касперского удалил все вредоносные файлы (как я считал по крайней мере). Сегодня вылезло два трояна, которые начали сильно грузить память и потому сразу заметил нагрузку. Один удалился без проблем, а HEUR:Trojan.Win64.Miner.gen после многих перезагрузок отказывается удаляться. Хотя бы вроде не работает. Также заметил, что последний или что-либо еще блокирует полную проверку компьютера антивирусом. Помогите пожалуйста удалить! 

Изменено 14 января пользователем JunkZerg

[JunkZerg 1]

Прикрепляю логи, которые требовались

CollectionLog-2024.01.15-02.00.zip

[safety 84]

подготовьте, пожалуйста, следующие логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[JunkZerg 1]

Выполнил всё по инструкциям, спасибо

DESKTOP-N5D555Q_2024-01-15_03-16-20_v4.15.1.7z FRST.txt Addition.txt

 

Провел более обширную проверку и Касперский начал чудить. Сначала показал, что HEUR:Trojan.Win64.Miner.gen удален, затем через минут еще 10 снова показал, что он есть и отказывался устранить. Теперь показал еще один троян, сразу удалил тот из-за которого весь сыр-бор и справился с удалением нового. Искренне прошу прощения, что так поздно беспокою, просто даже не знаю, что об этом думать. 

Изменено 15 января пользователем JunkZerg

[safety 84]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\WINDOWS\APPDATA\LOCAL\PROGRAMS\CC558258\A5812DEF1C.MSI
ZOO C:\Windows\SysWOW64\nav563.dat
dirzooex C:\ProgramData\ArchiveNavigator-d4e05187-3c12-4ac8-a79f-191689674b55
deldirex C:\ProgramData\ArchiveNavigator-d4e05187-3c12-4ac8-a79f-191689674b55
delall C:\Windows\SysWOW64\nav563.dat
delall %SystemDrive%\PROGRAMDATA\DUCHESS-CITIZEN\BIN.EXE
zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
addsgn A7679BC9DE37442480A1A234929F997835FFF575B4D2953985C32E9AD328703826943D554B773C09A1C1841A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Miner.gen 7
dirzooex C:\Program Files\WProxy\WinProxy
delall C:\Program Files\WProxy\WinProxy\WinProxy.exe
deldirex C:\Program Files\WProxy\WinProxy

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DINCOGAKFPFACIKBDIDEGNIAODMALNGNN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27

deltmp
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNABFSWK.EXE
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP2LAK.EXE
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP2RPK.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\WINDOWS\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref G:\AACT_X64 (2).EXE
delref G:\AACT_FILES
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref G:\AACT_FILES\KMSSS.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\WINDOWS\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RED SQUARE\KEYROX TKL SKELETON\KEYROX TKL SKELETON.EXE
;-------------------------------------------------------------
REGT 41
restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

[JunkZerg 1]

Еще одна быстрая проверка не указала на какие-либо майнеры. Файл прилагаю, а ZOO сейчас отправлю в лс 

2024-01-15_04-09-16_log.txt

[safety 84]

Такой еще скрипт выполните в uVS для отключения отслеживания процессов и задач

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE

regt 40
regt 42

restart

 

+ далее

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{8B0E89A9-D918-4412-A98E-585D02D11B9F}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{FF263A80-0D3D-49FE-B557-20719035A293}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{969A7C58-ACB4-406D-9015-1EC3FF737308}] => (Allow) 㩃啜敳獲坜湩潤獷䅜灰慄慴剜慯業杮瑜捯䵜㕳䕺攮數 => Нет файла
FirewallRules: [{08F40430-7578-4930-A798-7CFE4CE4296C}] => (Allow) 㩃啜敳獲坜湩潤獷䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{A5AC5850-6EA3-4312-BAA9-ECF8043CB877}] => (Allow) 㩃啜敳獲坜湩潤獷䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{72BF54A3-8E32-4D1C-B2E7-01199534EE76}] => (Allow) 㩃啜敳獲坜湩潤獷䅜灰慄慴剜慯業杮瑜捯婜楧⹌硥e => Нет файла
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2022.lnk:638138415C [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [4298]
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

[JunkZerg 1]

Провел еще одну быструю проверку, прилагаю фикслог и оставлю на ночь полную проверку, чтобы убедиться. Необходимо ли сделать что-то еще? 

Fixlog.txt

[safety 84]

Пока все нормально, система очищена от вирусных тел, ограничений и мусора в системе.

 

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении

[JunkZerg 1]

Спасибо вам огромное за помощь в столь поздний час. Очень выручили и успокоили несведущего человека. Файл прилагаю 

SecurityCheck.txt

[safety 84]

У меня уже ранний час   +4 Мск

 

Выполните по возможности  рекомендуемое обновление ПО.

 

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления

Discord v.1.0.9013 Внимание! Скачать обновления

Audacity 3.3.3 v.3.3.3 Внимание! Скачать обновления

Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК

 

 

[JunkZerg 1]

Закончилась полная проверка и все в порядке. Вы меня простите, если заставил ждать - свалило в сон. Еще раз спасибо огромное, со всеми праздниками Вас!
Можно наверняка отмечать вопрос как решеный 

[safety 84]

Хорошо, тему закрываю.

Спасибо за добрый отзыв и пожелания! Удачи и будьте внимательны при выборе игрового или другого ПО.

[safety 84]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".