[РЕШЕНО] Удалить самовосстанавливающийся HEUR:Trojan.Win64.Miner.gen

[Lon1ke]

Касперский обнаружил вредоносное приложение. Пытался несколько раз вылечить, но после перезагрузки ноутбука троян восстанавливается. Расположение: C:\ProgramData\VirtuVault-fe547bd1-1f9a-4234-96be-d457507c1c50

CollectionLog-2024.04.06-14.40.zip

[safety]

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Lon1ke]

Вот

FRST.txt Addition.txt

DESKTOP-NM7BIH1_2024-04-06_15-59-49_v4.15.1.7z

Изменено 6 апреля пользователем Lon1ke

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DELL\APPDATA\LOCAL\PROGRAMS\95C9DF46593390\01A60FF0D4.MSI
delall %SystemDrive%\USERS\DELL\APPDATA\LOCAL\PROGRAMS\95C9DF46593390\01A60FF0D4.MSI
ZOO C:\Windows\SysWOW64\crave627.dat
delall C:\Windows\SysWOW64\crave627.dat
DIRZOOEX C:\ProgramData\VirtuVault-fe547bd1-1f9a-4234-96be-d457507c1c50
deldirex C:\ProgramData\VirtuVault-fe547bd1-1f9a-4234-96be-d457507c1c50
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\CHIMNEY-DIFFERENCE\BIN.EXE
delall %SystemDrive%\USERS\DELL\APPDATA\LOCAL\PROGRAMS\95C9DF46593390\01A60FF0D4.MSI
zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
addsgn A7679BC9DE37442480A1A234929F997835FFF575B4D6953985C32E9AD328703826943D554B773C0DA1C1841A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Miner.gen 7

chklst
delvir

delref D:\AUTORUN.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDBCCIMAGKGNAAFAHAAEKNNKINDIIOPL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
apply

delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\DELL\APPDATA\LOCAL\PROGRAMS\OPERA\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TROJAN REMOVER\TRJSCAN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TROJAN REMOVER\TRUPD.EXE
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXSHLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXSHLEX64.DLL
delref %SystemDrive%\PROGRA~2\TROJAN~1\TRSHLE~1.DLL
delref %SystemDrive%\USERS\DELL\APPDATA\LOCAL\TEMP\RAR$EXB4552.320\PROGRAMS\KMSAUTO LITE PORTABLE V1.5.6\KMSAUTO X64.EXE
delref %SystemDrive%\USERS\DELL\APPDATA\LOCAL\TEMP\RAR$EXB4552.320\PROGRAMS\KMSAUTO LITE PORTABLE V1.5.6\KMSAUTO_FILES
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemRoot%\KMSAUTOS
delref %SystemRoot%\KMSAUTOS\KMSAUTO X64.EXE
delref %SystemRoot%\KMSAUTOS\KMSAUTO_FILES
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXAUTOMNTSRV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXAHCISERVICEEX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE
delref %SystemDrive%\USERS\DELL\DESKTOP\XX\UDUZSA
delref %SystemDrive%\USERS\DELL\DESKTOP\XX\RQLJUO
delref %SystemDrive%\USERS\DELL\DESKTOP\XX\YBKUMR
;-------------------------------------------------------------

restart
regt 40
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

[Lon1ke]

Остались некоторые файлы, самого .exe нет

2024-04-06_16-38-38_log.txt

[safety]

управляющая dll должна быть очищена.

Удаление файлов...
C:\WINDOWS\SYSWOW64\WIZCHAIN.DLL будет удален после перезагрузки

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-04-01 21:09 - 2024-04-06 12:29 - 000000000 __SHD C:\ProgramData\VirtuVault-fe547bd1-1f9a-4234-96be-d457507c1c50
2024-04-01 21:09 - 2024-04-01 21:09 - 001134147 _____ C:\Windows\SysWOW64\crave627.dat
2024-04-01 21:09 - 2024-04-01 21:09 - 000125456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wizchain.dll
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\ProgramData\Setup
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\Program Files (x86)\360
2024-03-24 12:55 - 2024-04-05 19:25 - 000000000 ____D C:\ProgramData\cVeyZFosQjUGhzVB
2024-03-24 12:55 - 2024-03-24 12:57 - 000000000 ____D C:\Program Files (x86)\XjhyZzwkXSWyC
2024-03-24 12:55 - 2024-03-24 12:57 - 000000000 ____D C:\Program Files (x86)\SpxblGFlJmbSdphOWAR
2024-03-24 12:55 - 2024-03-24 12:57 - 000000000 ____D C:\Program Files (x86)\lSJHxSrgcIUn
2024-03-24 12:55 - 2024-03-24 12:57 - 000000000 ____D C:\Program Files (x86)\FuOvEdCVQSMU2
2024-03-24 12:54 - 2024-03-24 14:19 - 000000000 ____D C:\Program Files (x86)\BqeSnNShU
2024-03-11 09:40 - 2024-03-11 10:40 - 000000000 ____D C:\Users\Dell\MediaGet2
AlternateDataStreams: C:\Users\Dell\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Dell\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{044AD1A6-A921-4C5D-9760-A8C1B3286F57}] => (Allow) 㩃啜敳獲䑜汥屬灁䑰瑡屡潒浡湩屧潴屣浭穲⹗硥e => Нет файла
FirewallRules: [{77B2FF67-E7F8-41E1-B848-F7882A0CE2EF}] => (Allow) 㩃啜敳獲䑜汥屬灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{F1494EFC-F8FB-45FE-949C-1EB42351FF46}] => (Allow) 㩃啜敳獲䑜汥屬灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{0F6CFB9E-30A2-44F3-8FFD-52498EC5DF13}] => (Allow) 㩃啜敳獲䑜汥屬灁䑰瑡屡潒浡湩屧潴屣䑲㙭攮數 => Нет файла
FirewallRules: [{C94B6C60-8A8E-4FB1-B256-4B7E4C8D00FC}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{49C080CF-38C8-41A0-886A-3971FB7AB766}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{56E1098A-46A2-48AE-B0F0-FC6574EB16E0}] => (Allow) C:\Users\Dell\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{0C16FA35-7D89-4DFA-8FA1-71FAB21F461B}] => (Allow) C:\Users\Dell\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{30EE430E-4053-421E-8CA7-A7D79DE1BB39}] => (Allow) C:\Users\Dell\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{A1095B13-8B73-433F-A3DF-CF6CCEE32378}] => (Allow) C:\Users\Dell\MediaGet2\QtWebEngineProcess.exe => Нет файла
2024-03-30 21:11 C:\Program Files\RDP Wrapper
2024-03-30 21:11 C:\Program Files (x86)\360
2024-03-30 21:11 C:\ProgramData\ReaItekHD
2024-03-30 21:11 C:\ProgramData\Setup
2024-03-30 21:11 C:\ProgramData\Windows Tasks Service
2024-03-30 21:11 C:\ProgramData\WindowsTask
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

[Lon1ke]

Вот

Fixlog.txt

 

Уведомление продолжает присылать, хотя при переходе к расположению файла отправляет в документы. После перезагрузки всё хорошо, поэтому я надеюсь его больше не будет. Спасибо за помощь

[safety]

Видимо угроза не была удалена антивирусом при обнаружении, поэтому и высвечивается в списке угроз. На самом деле мы все зачистили скриптами.

 

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении

[Lon1ke]

Вот

SecurityCheck.txt

[safety]

По возможности, обновите ПО:

 

Microsoft Office Standard 2019 - ru-ru v.16.0.10408.20002 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления

WinRAR 6.11 (64-bit) v.6.11.0 Внимание! Скачать обновления

OpenVPN 2.5.8-I604 amd64 v.2.5.040 Внимание! Скачать обновления

Java(TM) 6 Update 41 v.6.0.410 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u401-windows-i586.exe - Windows Offline).

Yandex v.24.1.5.736 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

Изменено 6 апреля пользователем safety

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".