[РЕШЕНО] HEUR:Trojan.Win64.Miner.gen как удалить?

[Clf]

Добрый день!
Такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/

 

Помогите удалить HEUR:Trojan.Win64.Miner.gen

Прикрепил логи по правилам оформления запроса созданные через AutoLogger

Также прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool 
+ образ автозапуска в uVS

 

FRST.txt Addition.txt DENIS_2024-01-24_22-33-29_v4.15.1.7z

CollectionLog-2024.01.24-23.06.zip

Изменено 24 января, 2024 пользователем Clf
Добавил недостающие логи

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\JETBRAINS\ETW HOST\16\JETBRAINS.ETW.COLLECTOR.HOST.EXE
ZOO C:\WINDOWS\SysWOW64\conf734.dat
dirzooex %SystemDrive%\PROGRAMDATA\FLASHUPLOADER-318083CD-C9F3-49E0-BF4C-A034B8B90921
delall %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
deldirex %SystemDrive%\PROGRAMDATA\FLASHUPLOADER-318083CD-C9F3-49E0-BF4C-A034B8B90921
dirzooex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
deldirex %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY
zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\PROGRAMS\C08286A2CDEFEF\5DC357EE38.MSI
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\PROGRAMS\C08286A2CDEFEF\5DC357EE38.MSI
delall C:\WINDOWS\SysWOW64\conf734.dat
zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
addsgn A7679BC9DE37442480A1A234929F997835FFF575B4D6953985C32E9AD328703826943D554B773C0DA1C1841A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Miner.gen 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMNCIDHPPMKIFJPBCJBHKCBDLGDJGBPAH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\MBAEPARSERTASK.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {C885AA15-1764-4293-B82A-0586ADD46B35}\[CLSID]
delref %Sys32%\MSPAINT.EXE
delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS
delref %Sys32%\IDLISTEN.DLL
delref %Sys32%\WINJSON.DLL
delref %Sys32%\SETTINGSYNC.DLL
delref %Sys32%\PACKAGESTATEROAMING.DLL
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\CELLULARAPI.DLL
delref %Sys32%\NETWORKSTATUS.DLL
delref %Sys32%\DRIVERS\RFXVMT.SYS
delref %Sys32%\SETTINGSYNCCORE.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %Sys32%\PERFCTRS.DLL
delref %Sys32%\NETCELLCORECELLMANAGERPROVIDERRESOURCES.DLL
delref %Sys32%\AZURESETTINGSYNCPROVIDER.DLL
delref %Sys32%\LISTSVC.DLL
delref %Sys32%\DRIVERS\WCNFS.SYS
delref %Sys32%\PERFTRACK.DLL
delref %Sys32%\DRIVERS\IALPSS2_I2C_CNL.SYS
delref %Sys32%\PROVSVC.DLL
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\DAL.INF_AMD64_FFC75848A6342FDF\JHI_SERVICE.EXE
delref %Sys32%\ONEDRIVESETTINGSYNCPROVIDER.DLL
delref %SystemRoot%\AACT_TOOLS
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref F:\AUTOINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\DOCKER\DOCKER\DOCKER DESKTOP.EXE -AUTOSTART
delref {424BE3CD-34AB-4F51-9C57-4341166DC8FA}\[CLSID]
delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID]
delref {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF}\[CLSID]
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\TEMP\.OPERA\5211C7C4280B\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\JETBRAINS\PYCHARM COMMUNITY EDITION 2021.2.2\BIN\PYCHARM64.EXE
delref %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\MOVAVI SLIDESHOW MAKER 7\SLIDESHOWMAKER.EXE
delref %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\MOVAVI SLIDESHOW MAKER 7\MOVAVI SLIDESHOW MAKER 7.URL
delref %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\MOVAVI SLIDESHOW MAKER 7\UNINST.EXE
delref %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\MOVAVI VIDEO EDITOR PLUS 2021\VIDEOEDITORPLUS.EXE
delref %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\MOVAVI VIDEO EDITOR PLUS 2021\MOVAVI VIDEO EDITOR PLUS 2021.URL
delref %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\MOVAVI VIDEO EDITOR PLUS 2021\UNINST.EXE
;-------------------------------------------------------------
REGT 40

czoo
restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено 24 января, 2024 пользователем safety

[safety]

Далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
CloseProcesses:
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {267B2CCB-D4EB-451B-B372-63F708D92AF6} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe [137216 2023-12-26] (WProxy) [Файл не подписан]
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
2024-01-06 15:26 - 2024-01-24 22:32 - 000000000 __SHD C:\ProgramData\FlashUploader-318083cd-c9f3-49e0-bf4c-a034b8b90921
2024-01-06 15:26 - 2024-01-06 15:26 - 001159002 _____ C:\WINDOWS\SysWOW64\conf734.dat
2024-01-06 15:26 - 2024-01-06 15:26 - 000125456 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\wizchain.dll
2024-01-06 12:14 - 2024-01-06 12:14 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-01-06 12:14 - 2024-01-06 12:14 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-01-06 12:14 - 2024-01-06 12:14 - 000000000 _RSHD C:\ProgramData\Setup
2024-01-06 12:14 - 2024-01-06 12:14 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-01-06 12:14 - 2024-01-06 12:14 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-01-06 12:14 - 2024-01-06 12:14 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-01-06 12:14 - 2024-01-06 12:14 - 000000000 _RSHD C:\Program Files (x86)\360
2024-01-06 12:14 C:\Program Files\RDP Wrapper
2024-01-06 12:14 C:\Program Files (x86)\360
2024-01-06 12:14 C:\ProgramData\RDP Wrapper
2024-01-06 12:14 C:\ProgramData\ReaItekHD
2024-01-06 12:14 C:\ProgramData\Setup
2024-01-06 12:14 C:\ProgramData\Windows Tasks Service
2024-01-06 12:14 C:\ProgramData\WindowsTask

AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk:B026C77744 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iMyFone TunesFix.lnk:773382E131 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Anti-Virus.lnk:17F06177B6 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Password Manager.lnk:25FB69C60A [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk:104946E0EA [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [10]

FirewallRules: [{6A400455-9D39-4209-8190-446E80284BD8}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (WProxy) [Файл не подписан]
FirewallRules: [{649DE3B4-6B5C-416E-A78F-E7EBA9EA5D30}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (WProxy) [Файл не подписан]
FirewallRules: [{A302E711-8154-4D58-936C-47A24A68E2AD}] => (Allow) 㩃啜敳獲䑜湥獩䅜灰慄慴剜慯業杮瑜捯䵜㕳䕺攮數 => Нет файла
FirewallRules: [{7D606437-4D52-4D0E-A893-A715BF13C21C}] => (Allow) 㩃啜敳獲䑜湥獩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{84AC1179-7466-43F5-9AB2-3DCD22D4FD4D}] => (Allow) 㩃啜敳獲䑜湥獩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{8826C929-70B7-4BD5-B126-605704AC1155}] => (Allow) 㩃啜敳獲䑜湥獩䅜灰慄慴剜慯業杮瑜捯婜楧⹌硥e => Нет файла

EmptyTemp:
Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

[Clf]

ссылка на облачный диск с архивом ZOO_дата_время.7z
https://drive.google.com/file/d/19l7u_W4FtSd95buuqXC6vehJ_UeWq5Hp/view?usp=sharing

Также прикрепил файл Дата_времяlog.txt из папки uVS

После выполнения скрипта в uVs kaspersky anti-virus больше не видит вирус-майнер

2024-01-25_00-48-19_log.txt

[safety]

да, управляющий файл удален:

Удаление файлов...
C:\WINDOWS\SYSWOW64\WIZCHAIN.DLL будет удален после перезагрузки
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 2 из 2
Удалено файлов: 0 из 1

 

Далее,

Выполните скрипт очистки в FRST

 

 

[Clf]

Прикрепляю Fixlog.txt

А этот код нужно было куда-то в FRST вставлять?

------------

отредактировано.

 

Fixlog.txt

Изменено 25 января, 2024 пользователем safety

[safety]

Нет, не надо его вставлять,

по инструкции указано, что скрипт копируется в буфер обмена, и FRST извлекает его из буфера после нажатия на кнопку Исправить.

Судя по Fixlog.txt вы все правильно сделали.

 

Далее,

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении

[Clf]

Все сделал, спасибо большое!

 

SecurityCheck.txt

[safety]

Выполните обновление ПО до актуальных версий.

Git v.2.37.3 Внимание! Скачать обновления
Microsoft SQL Server 2012 Native Client  v.11.3.6020.0 Данная программа больше не поддерживается разработчиком.
Python 3.9.7 (64-bit) v.3.9.7150.0 Внимание! Скачать обновления
AnyDesk v.ad 8.0.6 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.34.31938 v.14.34.31938.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.34.31938 v.14.34.31938.0 Внимание! Скачать обновления

7-Zip 21.06 (x64) v.21.06 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления

Discord v.1.0.9003 Внимание! Скачать обновления
WhatsApp v.2.2140.7 Внимание! Скачать обновления
Zoom v.5.16.10 (26186) Внимание! Скачать обновления
Telegram Desktop v.4.14.8 Внимание! Скачать обновления

Windscribe v.2.4.10 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46896 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^

Yandex v.23.11.3.965 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.120.0.6099.227 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VideoAdsBlocker v.2.0.0.2897 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
UU Game Booster v.3.5.0.73 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

Изменено 25 января, 2024 пользователем safety

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".