Перейти к содержанию

[РЕШЕНО] Удалить самовосстанавливающийся HEUR:Trojan.Win64.Miner.gen


Рекомендуемые сообщения

Касперский обнаружил вредоносное приложение. Пытался несколько раз вылечить, но после перезагрузки ноутбука троян восстанавливается. Расположение: C:\ProgramData\VirtuVault-fe547bd1-1f9a-4234-96be-d457507c1c50

CollectionLog-2024.04.06-14.40.zip

Ссылка на комментарий
Поделиться на другие сайты

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DELL\APPDATA\LOCAL\PROGRAMS\95C9DF46593390\01A60FF0D4.MSI
delall %SystemDrive%\USERS\DELL\APPDATA\LOCAL\PROGRAMS\95C9DF46593390\01A60FF0D4.MSI
ZOO C:\Windows\SysWOW64\crave627.dat
delall C:\Windows\SysWOW64\crave627.dat
DIRZOOEX C:\ProgramData\VirtuVault-fe547bd1-1f9a-4234-96be-d457507c1c50
deldirex C:\ProgramData\VirtuVault-fe547bd1-1f9a-4234-96be-d457507c1c50
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\CHIMNEY-DIFFERENCE\BIN.EXE
delall %SystemDrive%\USERS\DELL\APPDATA\LOCAL\PROGRAMS\95C9DF46593390\01A60FF0D4.MSI
zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
addsgn A7679BC9DE37442480A1A234929F997835FFF575B4D6953985C32E9AD328703826943D554B773C0DA1C1841A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Miner.gen 7

chklst
delvir

delref D:\AUTORUN.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDBCCIMAGKGNAAFAHAAEKNNKINDIIOPL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
apply

delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\DELL\APPDATA\LOCAL\PROGRAMS\OPERA\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TROJAN REMOVER\TRJSCAN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TROJAN REMOVER\TRUPD.EXE
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXSHLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXSHLEX64.DLL
delref %SystemDrive%\PROGRA~2\TROJAN~1\TRSHLE~1.DLL
delref %SystemDrive%\USERS\DELL\APPDATA\LOCAL\TEMP\RAR$EXB4552.320\PROGRAMS\KMSAUTO LITE PORTABLE V1.5.6\KMSAUTO X64.EXE
delref %SystemDrive%\USERS\DELL\APPDATA\LOCAL\TEMP\RAR$EXB4552.320\PROGRAMS\KMSAUTO LITE PORTABLE V1.5.6\KMSAUTO_FILES
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemRoot%\KMSAUTOS
delref %SystemRoot%\KMSAUTOS\KMSAUTO X64.EXE
delref %SystemRoot%\KMSAUTOS\KMSAUTO_FILES
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXAUTOMNTSRV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXAHCISERVICEEX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE
delref %SystemDrive%\USERS\DELL\DESKTOP\XX\UDUZSA
delref %SystemDrive%\USERS\DELL\DESKTOP\XX\RQLJUO
delref %SystemDrive%\USERS\DELL\DESKTOP\XX\YBKUMR
;-------------------------------------------------------------

restart
regt 40
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на комментарий
Поделиться на другие сайты

управляющая dll должна быть очищена.

Удаление файлов...
C:\WINDOWS\SYSWOW64\WIZCHAIN.DLL будет удален после перезагрузки

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-04-01 21:09 - 2024-04-06 12:29 - 000000000 __SHD C:\ProgramData\VirtuVault-fe547bd1-1f9a-4234-96be-d457507c1c50
2024-04-01 21:09 - 2024-04-01 21:09 - 001134147 _____ C:\Windows\SysWOW64\crave627.dat
2024-04-01 21:09 - 2024-04-01 21:09 - 000125456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wizchain.dll
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\ProgramData\Setup
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\Program Files (x86)\360
2024-03-24 12:55 - 2024-04-05 19:25 - 000000000 ____D C:\ProgramData\cVeyZFosQjUGhzVB
2024-03-24 12:55 - 2024-03-24 12:57 - 000000000 ____D C:\Program Files (x86)\XjhyZzwkXSWyC
2024-03-24 12:55 - 2024-03-24 12:57 - 000000000 ____D C:\Program Files (x86)\SpxblGFlJmbSdphOWAR
2024-03-24 12:55 - 2024-03-24 12:57 - 000000000 ____D C:\Program Files (x86)\lSJHxSrgcIUn
2024-03-24 12:55 - 2024-03-24 12:57 - 000000000 ____D C:\Program Files (x86)\FuOvEdCVQSMU2
2024-03-24 12:54 - 2024-03-24 14:19 - 000000000 ____D C:\Program Files (x86)\BqeSnNShU
2024-03-11 09:40 - 2024-03-11 10:40 - 000000000 ____D C:\Users\Dell\MediaGet2
AlternateDataStreams: C:\Users\Dell\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Dell\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{044AD1A6-A921-4C5D-9760-A8C1B3286F57}] => (Allow) 㩃啜敳獲䑜汥屬灁䑰瑡屡潒浡湩屧潴屣浭穲⹗硥e => Нет файла
FirewallRules: [{77B2FF67-E7F8-41E1-B848-F7882A0CE2EF}] => (Allow) 㩃啜敳獲䑜汥屬灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{F1494EFC-F8FB-45FE-949C-1EB42351FF46}] => (Allow) 㩃啜敳獲䑜汥屬灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{0F6CFB9E-30A2-44F3-8FFD-52498EC5DF13}] => (Allow) 㩃啜敳獲䑜汥屬灁䑰瑡屡潒浡湩屧潴屣䑲㙭攮數 => Нет файла
FirewallRules: [{C94B6C60-8A8E-4FB1-B256-4B7E4C8D00FC}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{49C080CF-38C8-41A0-886A-3971FB7AB766}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{56E1098A-46A2-48AE-B0F0-FC6574EB16E0}] => (Allow) C:\Users\Dell\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{0C16FA35-7D89-4DFA-8FA1-71FAB21F461B}] => (Allow) C:\Users\Dell\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{30EE430E-4053-421E-8CA7-A7D79DE1BB39}] => (Allow) C:\Users\Dell\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{A1095B13-8B73-433F-A3DF-CF6CCEE32378}] => (Allow) C:\Users\Dell\MediaGet2\QtWebEngineProcess.exe => Нет файла
2024-03-30 21:11 C:\Program Files\RDP Wrapper
2024-03-30 21:11 C:\Program Files (x86)\360
2024-03-30 21:11 C:\ProgramData\ReaItekHD
2024-03-30 21:11 C:\ProgramData\Setup
2024-03-30 21:11 C:\ProgramData\Windows Tasks Service
2024-03-30 21:11 C:\ProgramData\WindowsTask
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Ссылка на комментарий
Поделиться на другие сайты

Вот

Fixlog.txt

 

Уведомление продолжает присылать, хотя при переходе к расположению файла отправляет в документы. После перезагрузки всё хорошо, поэтому я надеюсь его больше не будет. Спасибо за помощь

2024-04-06.png

Ссылка на комментарий
Поделиться на другие сайты

Видимо угроза не была удалена антивирусом при обнаружении, поэтому и высвечивается в списке угроз. На самом деле мы все зачистили скриптами.

 

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении
Ссылка на комментарий
Поделиться на другие сайты

По возможности, обновите ПО:

 

Microsoft Office Standard 2019 - ru-ru v.16.0.10408.20002 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления

WinRAR 6.11 (64-bit) v.6.11.0 Внимание! Скачать обновления

OpenVPN 2.5.8-I604 amd64 v.2.5.040 Внимание! Скачать обновления

Java(TM) 6 Update 41 v.6.0.410 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u401-windows-i586.exe - Windows Offline).

Yandex v.24.1.5.736 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...