win64.miner.gen [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen как удалить?

[Tim7]

Добрый день!

Точно такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/

 

Подхватил HEUR:Trojan.Win64.Miner.gen, как удалить?

Изменено 18 января пользователем Tim7

[safety]

Добавьте, пожалуйста, логи по правилам.

[Tim7]

15 минут назад, safety сказал:

Добавьте, пожалуйста, логи по правилам.

CollectionLog-2024.01.18-15.36.zip

[safety]

Хорошо,

c:\program files\wproxy\winproxy\winproxy.exe

c:\windows\System32\evntagnt.dll

C:\Users\shabe\AppData\Local\Programs\3ca9f659b9cc\8933f218ab.msi

 

+

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 18 января пользователем safety

[Tim7]

11 минут назад, safety сказал:

Хорошо,

+

подготовьте, пожалуйста, дополнительные логи:

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

DESKTOP-2H1PCR8_2024-01-18_16-49-41_v4.15.1.7z FRST.txt Addition.txt

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\EVNTAGNT.DLL
zoo %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
dirzoo %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
deldirex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
zoo %SystemDrive%\USERS\SHABE\APPDATA\LOCAL\PROGRAMS\3CA9F659B9CC\8933F218AB.MSI
zoo %SystemDrive%\PROGRAMDATA\SECUREVAULTBACKUP-DE8951DF-7BC9-4B2C-A7EE-30F03AB74B7C\SECUREVAULTBACKUP.EXE
dirzoo %SystemDrive%\PROGRAMDATA\SECUREVAULTBACKUP-DE8951DF-7BC9-4B2C-A7EE-30F03AB74B7C
delall %SystemDrive%\USERS\SHABE\APPDATA\LOCAL\PROGRAMS\3CA9F659B9CC\8933F218AB.MSI
deldirex %SystemDrive%\PROGRAMDATA\SECUREVAULTBACKUP-DE8951DF-7BC9-4B2C-A7EE-30F03AB74B7C
;------------------------autoscript---------------------------

addsgn A484B7F0156A26785582460A8737ED8E61AEE87561FA4621F1F48DC84B9E055D6B63C43F4E3FDD49C0ACECAF2C56491158B71C1B15DA5B3245CFCD6FC750CAF4 64 Miner.gen 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMLEOILFLBNFBJPPFDPKOMFCAGLKCMGIE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref %SystemDrive%\PROGRAMDATA\EMERGE-FREEZE\BIN.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\USERS\SHABE\APPDATA\LOCAL\TEMP\KMSAUTO X64.EXE
delref %SystemDrive%\USERS\SHABE\APPDATA\LOCAL\TEMP\KMSAUTO_FILES
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref A:\PROGRAM FILES\UNLOCKERDRIVER5.SYS
delref IRENUM\[SERVICE]
delref %SystemRoot%\TEMP\.OPERA\28B6D7CFB3FC\INSTALLER.EXE
delref %SystemRoot%\TEMP\6968EB28-36BD-4822-8E1A-03CEB905F5B5\DISMHOST.EXE

REGT 40
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

[Tim7]

13 минут назад, safety сказал:

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\EVNTAGNT.DLL
zoo %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
dirzoo %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
deldirex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
zoo %SystemDrive%\USERS\SHABE\APPDATA\LOCAL\PROGRAMS\3CA9F659B9CC\8933F218AB.MSI
zoo %SystemDrive%\PROGRAMDATA\SECUREVAULTBACKUP-DE8951DF-7BC9-4B2C-A7EE-30F03AB74B7C\SECUREVAULTBACKUP.EXE
dirzoo %SystemDrive%\PROGRAMDATA\SECUREVAULTBACKUP-DE8951DF-7BC9-4B2C-A7EE-30F03AB74B7C
delall %SystemDrive%\USERS\SHABE\APPDATA\LOCAL\PROGRAMS\3CA9F659B9CC\8933F218AB.MSI
deldirex %SystemDrive%\PROGRAMDATA\SECUREVAULTBACKUP-DE8951DF-7BC9-4B2C-A7EE-30F03AB74B7C
;------------------------autoscript---------------------------

addsgn A484B7F0156A26785582460A8737ED8E61AEE87561FA4621F1F48DC84B9E055D6B63C43F4E3FDD49C0ACECAF2C56491158B71C1B15DA5B3245CFCD6FC750CAF4 64 Miner.gen 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMLEOILFLBNFBJPPFDPKOMFCAGLKCMGIE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref %SystemDrive%\PROGRAMDATA\EMERGE-FREEZE\BIN.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\USERS\SHABE\APPDATA\LOCAL\TEMP\KMSAUTO X64.EXE
delref %SystemDrive%\USERS\SHABE\APPDATA\LOCAL\TEMP\KMSAUTO_FILES
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref A:\PROGRAM FILES\UNLOCKERDRIVER5.SYS
delref IRENUM\[SERVICE]
delref %SystemRoot%\TEMP\.OPERA\28B6D7CFB3FC\INSTALLER.EXE
delref %SystemRoot%\TEMP\6968EB28-36BD-4822-8E1A-03CEB905F5B5\DISMHOST.EXE

REGT 40
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Сейчас сканирую все разделы утилитой KVRT после отпишусь по результату, ссылку на архив сейчас отправлю в ЛС

2024-01-18_17-23-07_log.txt

[safety]

Судя по логу файл dll должен быть очищен, и восстановление майера прекратится.

Удаление файлов...
C:\WINDOWS\SYSWOW64\EVNTAGNT.DLL будет удален после перезагрузки
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 2 из 2
Удалено файлов: 0 из 1

 

[Tim7]

12 минут назад, safety сказал:

Судя по логу файл dll должен быть очищен, и восстановление майера прекратится.

Удаление файлов...
C:\WINDOWS\SYSWOW64\EVNTAGNT.DLL будет удален после перезагрузки
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 2 из 2
Удалено файлов: 0 из 1

 

Не совсем понял, мне удалить данный файл в ручную?  Утилита KVRT не нашла данный троян (майнер).

[safety]

1. не цитируйте, пожалуйста, ответы, просто пишите в окне свое сообщение.

2. dll и тело майнера уже очищены скиптом, поэтому KVRT их не найдет. То что KVRT ничего не нашел, значит майнер не восстановился после скрипта и перезагрузки системы. Нечему восстанавливать, так как управляющая длл удалена.

 

А тело майнера KVRT должен детектировать, но раз не нашел ничего значит его нет уже в системе.

https://www.virustotal.com/gui/file/cda75b1c8912a8b04f5df74bc0c51405dc7458ec2a44077619061406e6927f91

Изменено 18 января пользователем safety

[Tim7]

Все понял, спасибо большое.

 

Необходимо еще, что то сделать?

[safety]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [10054]
Reboot:
End::

после перезагрузки:

 

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении

 

[Tim7]

SecurityCheck.txt

[safety]

Обновите ПО:

TeamViewer v.15.28.9 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32531 v.14.36.32531.0 Внимание! Скачать обновления

Яндекс.Диск v.3.2.19.4651 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.4.12.2 Внимание! Скачать обновления

CCleaner v.6.20 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК

 

На этом с лечением заканчиваем.

 

Изменено 18 января пользователем safety

[Tim7]

Подскажите, что за ссылка https://www.virustotal.com/gui/file/cda75b1c8912a8b04f5df74bc0c51405dc7458ec2a44077619061406e6927f91