Перейти к содержанию
Правила раздела

HEUR:Trojan.Win64.Miner.gen. Как удалить этот вирус?

АнтонРоманович

Автор АнтонРоманович
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

АнтонРоманович

АнтонРоманович

Опубликовано
Опубликовано

Добрый день!

Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen

KIS его находит сразу при включении и просит Лечение с перезагрузкой. После перезагрузки компьютера, всё по новой.

Пробовал удалить вручную папку, которую указал KIS, но она восстанавливается.

Подскажите, что делать? Спасибо


В общем, тоже самое, что и  https://forum.kasperskyclub.ru/topic/421091-resheno-heurtrojanwin64minergen-kak-udalit-jetot-virus/

FRST.txt Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Два типа заражения, будем лечить последовательно.

 

Не нужно полностью цитировать предыдущее сообщение, пишите в нижнем поле быстрого ответа.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

thyrex

thyrex

Опубликовано
Опубликовано
13 минут назад, Sandor сказал:

После перезагрузки системы соберите новый CollectionLog Автологером.

Ждем

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

toc

VideoAdsBlocker

 

 

Что не сможете удалить стандартно, удалите принудительно через Geek Uninstaller

 

Далее:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\wproxy\winproxy\winproxy.exe');
 QuarantineFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 QuarantineFile('C:\ProgramData\bigger-courage\bin.exe', '');
 QuarantineFile('c:\windows\System32\evntagnt.dll', '');
 QuarantineFile('C:\Windows\SysWOW64\evntagnt.dll', '');
 DeleteSchedulerTask('WProxy\WinProxy');
 DeleteFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 DeleteFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '64');
 DeleteFile('C:\ProgramData\bigger-courage\bin.exe', '64');
 DeleteFile('c:\windows\System32\evntagnt.dll', '');
 DeleteFile('C:\Windows\SysWOW64\evntagnt.dll', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\EvntAgntSvc_bcf6ff\Parameters', 'ServiceDll', '64');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Или загрузите на облако, а ссылку на скачивание передайте мне личным сообщением.

 

 

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Спасибо.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1217912568-3865451217-653607331-1001\...\MountPoints2: {85437b0b-b1ca-11eb-87a9-18cc186c3355} - "F:\AUTORUN.EXE" 
HKU\S-1-5-21-1217912568-3865451217-653607331-1001\...\MountPoints2: {9fa1b7bb-8154-11ec-8833-18cc186c3352} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1217912568-3865451217-653607331-1001\...\MountPoints2: {e9fcfcdc-b44b-11ec-8858-18cc186c3352} - "F:\setup.EXE" /AUTORUN
HKU\S-1-5-21-1217912568-3865451217-653607331-1003\...\MountPoints2: {9fa1b7bb-8154-11ec-8833-18cc186c3352} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1217912568-3865451217-653607331-1003\...\MountPoints2: {e9fcfcdc-b44b-11ec-8858-18cc186c3352} - "F:\Autorun.exe" 
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {06F9DC41-5C98-49F8-90E2-48464E04E57B} - \Microsoft\Windows\Wininet\RealtekHDControl -> Нет файла <==== ВНИМАНИЕ
Task: {5A4B383B-842B-4BCA-A848-601A46A4441B} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> Нет файла <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR DefaultSearchKeyword: Default -> cdn
CHR HKU\S-1-5-21-1217912568-3865451217-653607331-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKU\S-1-5-21-1217912568-3865451217-653607331-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
C:\Users\anton\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
HKU\S-1-5-21-1217912568-3865451217-653607331-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
FirewallRules: [{DBC68E23-7599-46F4-B8D8-087ACDCFC1D4}] => (Allow) LPort=5130
FirewallRules: [{A5BE43BA-9B30-4C31-B386-E84FDBF127B7}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{2B3ED8BF-364D-4042-AE7D-266584380DA1}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{2BA24998-FA45-441D-A161-96BF9426F93E}] => (Allow) 㩃啜敳獲慜瑮湯䅜灰慄慴剜慯業杮瑜捯䩜䥬ㅕ攮數 => Нет файла
FirewallRules: [{37C5018C-272E-4B7B-955C-BA8213890ED4}] => (Allow) 㩃啜敳獲慜瑮湯䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{0AD0F4C8-23ED-4436-9D5F-A55F70E74C9F}] => (Allow) 㩃啜敳獲慜瑮湯䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{2811F92C-C62B-4331-AAE3-23CD9D67C74A}] => (Allow) 㩃啜敳獲慜瑮湯䅜灰慄慴剜慯業杮瑜捯扜楫⸰硥e => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. Сделайте сейчас проверку в KES и сообщите результат.

АнтонРоманович

АнтонРоманович

Опубликовано
  • Автор
Опубликовано

Уже на данный момент не вылезает вирус. Спасибо вам большое! Запустил полную проверку в KES, пишет, что остался примерно 1 час. По итоговому результату напишу.

 

Полная проверка KES показала, что на компьютере больше нет угроз! Спасибо огромное за помощь!!!

Sandor

Sandor

Опубликовано
Опубликовано

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

+

Если получится найти файл 

conf991.dat

упакуйте его в архив с паролем и перешлите его мне личным сообщением (можно через облако).

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Aling4r
      Как удалить HEUR:Trojan.Win64.Miner.gen
      Автор Aling4r
      Здравствуйте, подскажите пожалуйста, как удалить HEUR:Trojan.Win64.Miner.gen, KTS при попытке лечения с перезагрузкой, после самой перезагрузки снова показывает что обнаружен этот вирус, при ручном удалении файлов, та же ошибка. Что делать? 
      1.txt
    • SWAIZ
      я не могу удалить такой вирус "HEUR:Trojan.Win64.Miner.gen"
      Автор SWAIZ
      "HEUR.Trojan.Win64.Miner.gen"

      Объект:C:\ProgramData\MoviPro-11ec39aa-d2ba-4a5c-af86-b1c36cc46a0a
       
      После перезагрузки через некоторое время заражённый файл вновь появляется. Это уже повторяется больше 10 раз.
       
      ОС Windows 11. 64 бит
      Очевидно, антивирус только удаляет заражённый файл MoviPro.exe, но причина заражения не устраняется .
    • Paul_Backley
      Вирус HEUR:Trojan.Win64.Miner.Gen
      Автор Paul_Backley
      Не удаляется вирус даже после полной очистки. 
       
      Помогите пожалуйста. 

    • Libla
      Вирус HEUR:Trojan.Win64.Miner.gen
      Автор Libla
      Появился этот вирус, удаление папки/лечение касперского не помогает, вирус вновь появляется. Помогите пожалуйста.
      CollectionLog-2024.02.05-19.27.zip FRST.txt
    • Clf
      [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen как удалить?
      Автор Clf
      Добрый день!
      Такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Помогите удалить HEUR:Trojan.Win64.Miner.gen

      Прикрепил логи по правилам оформления запроса созданные через AutoLogger

      Также прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool 
      + образ автозапуска в uVS

       
      FRST.txt Addition.txt DENIS_2024-01-24_22-33-29_v4.15.1.7z
      CollectionLog-2024.01.24-23.06.zip
×
×
  • Создать...