Перейти к содержанию

HEUR:Trojan.Win64.Miner.gen Прошу помощи в удалении


Thampilier

Рекомендуемые сообщения

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files\wproxy\winproxy\winproxy.exe');
 DeleteFile('c:\program files\wproxy\winproxy\winproxy.exe','32');
 DeleteFile('C:\ProgramData\forgive-edward\bin.exe','64');
 DeleteSchedulerTask('WProxy\WinProxy');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

Также удалите старые логи Farbar и сделайте новые.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2150109142-1296360450-1315704285-1000\...\MountPoints2: {3822326b-5e94-11ee-9580-806e6f6e6963} - "E:\SETUP.EXE" 
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> cdn
2024-02-12 09:59 - 2024-02-15 10:24 - 000000000 __SHD C:\ProgramData\FileManagerPro-476888d9-ae44-495c-bb4b-04ade72c336d
2024-01-09 15:27 C:\KVRT2020_Data
2024-01-10 02:47 C:\Program Files\RDP Wrapper
2024-01-10 02:47 C:\Program Files (x86)\360
2024-01-10 02:47 C:\ProgramData\RDP Wrapper
2024-01-10 02:47 C:\ProgramData\ReaItekHD
2024-01-10 02:47 C:\ProgramData\Setup
2024-01-10 02:47 C:\ProgramData\Windows Tasks Service
2024-01-10 02:47 C:\ProgramData\WindowsTask
2024-02-15 12:02 - 2023-12-27 14:42 - 000000000 ____D C:\Windows\system32\Tasks\WProxy
S3 PRProt; \??\C:\Users\user\AppData\Local\Temp\ActiveAnticheat\1223460\active64.sys [X] <==== ВНИМАНИЕ
S3 AAErrorPort; C:\Users\user\AppData\Local\Temp\ActiveAnticheat\aaerrport.exe [X] <==== ВНИМАНИЕ
FirewallRules: [{7D9E351D-88F0-4805-B26C-352D8F9CEB0C}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{2F21B715-A2D2-4184-889A-231BC7078C33}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{9EA4E05D-E146-4DB5-879C-6D7558562DE1}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣㉕䩋⹶硥e => Нет файла
FirewallRules: [{58F154B2-D845-4F03-BF95-B163930F941A}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{4A227437-D30A-424F-AA4C-1495300D4554}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{7137CCEA-223F-4D2C-B756-75BD5C85CC03}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣愴䈴攮數 => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Цитата

------------------------------ [ ArchAndFM ] ------------------------------

WinRAR 6.23 (64-разрядная) v.6.23.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC (64-bit) v.22.001.20085 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

по возможности исправьте указанное, и на этом закончим

Ссылка на комментарий
Поделиться на другие сайты

toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

 Можно попробовать удалить TOC, но его Малавар не увидел, он вообще возможно удален но висит в реестре. Прошу подсказать как это сделать

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Xynire
      От Xynire
      Измучал меня этот троян. Антивирус борется с ним, но после перезагрузки будто ничего не было. Заранее благодарю
    • Константин agromoll34
      От Константин agromoll34
      У нас сейчас точно такая же проблема, как решить вопрос?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Folclor
      От Folclor
      Добрый день, обнаружил у себя на пк вирус net:malware.url который сильно нагружает процессор, выполнил сканирование и попробовал его удалить, что не принесло результатов, прошу помощи у знатоков в решении данного вопроса. 

    • Vopj
      От Vopj
      В определенный момент начала возникать большая нагрузка на CPU, возник сильный перегрев. RogueKiller обнаружил PuzzleMedia, CureIt не запускается ввобще, к сожалению по причине отсутствующих навыков, самостоятельно разобраться не получилось, прошу помощи.
      CollectionLog-2024.11.13-21.04.zip
    • Moiui
      От Moiui
      Решил проверить мой комп на вирусы и обнаружил вот такой вирус с названием  NET.MALWARE.URL. Откуда он? Знать я этого не знаю. Логи закинул
      CollectionLog-2024.06.25-15.07.zip
×
×
  • Создать...