Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?

[ApploDi 0]

Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe

Удаляет, но с каждой перезагрузкой снова его обнаруживает

CollectionLog-2024.04.19-16.32.zip

Изменено 19 апреля пользователем ApploDi
Приложил логи

[Sandor 1 282]

Здравствуйте!

 

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Auslogics Disk Defrag
Driver Booster 11

 

2. 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\achieve-bronze\bin.exe', '');
 QuarantineFile('c:\windows\System32\evntagnt.dll', '');
 QuarantineFile('C:\Windows\SysWOW64\evntagnt.dll', '');
 DeleteFile('C:\ProgramData\achieve-bronze\bin.exe', '64');
 DeleteFile('c:\windows\System32\evntagnt.dll', '');
 DeleteFile('C:\Windows\SysWOW64\evntagnt.dll', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\EvntAgntSvc_5eb5a4\Parameters', 'ServiceDll', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

3. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O22 - Tasks: \WProxy\WinProxy - C:\Program Files\WProxy\WinProxy\WinProxy.exe (not signed - WProxy - 0BBE19447500840EEE7EB90E990FBD3E236884E9)
O22 - Tasks: Driver Booster Scheduler - C:\Program Files (x86)\IObit\Driver Booster\11.1.0\Scheduler.exe /scheduler (sign: 'IObit CO., LTD')
O22 - Tasks: Driver Booster SkipUAC (Даня) - C:\Program Files (x86)\IObit\Driver Booster\11.1.0\DriverBooster.exe /skipuac (sign: 'IObit CO., LTD')
O22 - Tasks: Driver Booster Update - C:\Program Files (x86)\IObit\Driver Booster\11.1.0\AutoUpdate.exe /auto (sign: 'IObit CO., LTD')

Перезагрузите компьютер вручную.

 

4.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Изменено 19 апреля пользователем Sandor

[ApploDi 0]

Выполнил. Пока всё выполнял ещё пару троянов образовалось... Защитник виндовс после перезагрузки включился - отметил их

FRST.txt Addition.txt

Изменено 19 апреля пользователем ApploDi

[Sandor 1 282]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
  Edge DefaultSearchKeyword: Default -> x-finder.pro
  Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
  C:\Users\Даня\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
  CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: Default -> cdn
  C:\Users\Даня\AppData\Local\Google\Chrome\User Data\Default\Extensions\capgokbmccjjiiofgbbokkogaddfinem
  C:\Users\Даня\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  C:\Users\Даня\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR HomePage: Guest Profile -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Guest Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
  CHR DefaultSearchKeyword: Guest Profile -> cdn
  C:\Users\Даня\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR HomePage: Profile 2 -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Profile 2 -> "hxxps://find-it.pro/?utm_source=distr_m"
  CHR DefaultSearchURL: Profile 2 -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: Profile 2 -> cdn
  C:\Users\Даня\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\caggillkplafbclpmopmnnaofffaabdk
  C:\Users\Даня\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
  CHR DefaultSearchKeyword: System Profile -> x-finder.pro
  CHR DefaultSuggestURL: System Profile -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
  CHR Extension: (X-finder.pro) - C:\Users\Даня\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2023-11-16]
  CHR HKU\S-1-5-21-3375298738-2447359386-582546594-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
  Folder: C:\ProgramData\MoviGenius-463f7f01-be9f-4a1b-a1d3-c94336fc5947
  2024-04-10 00:12 - 2024-04-19 16:46 - 000000000 __SHD C:\ProgramData\MoviGenius-463f7f01-be9f-4a1b-a1d3-c94336fc5947
  2024-04-19 17:13 - 2023-11-16 23:06 - 000000000 ____D C:\Windows\system32\Tasks\WProxy
  2024-04-19 16:50 - 2023-09-14 16:02 - 000000000 ____D C:\ProgramData\ProductData
  2024-04-19 16:50 - 2023-09-14 16:01 - 000000000 ____D C:\Users\Даня\AppData\Roaming\IObit
  Folder: C:\ProgramData\SpeedyRescue-27a335ee-c88f-4d08-ad43-13702344d48f
  Folder: C:\ProgramData\BeatDesigner-4347328e-a9cd-4381-bd16-f01c3d494720
  Folder: C:\ProgramData\GameEngineer4D-b32a2214-668c-48e8-881a-ef4bf0f569e4
  Folder: C:\ProgramData\PhotoMaestro-56275b07-464d-4086-8035-8f0dd4bbfe0b
  2023-11-26 23:08 C:\Program Files\RDP Wrapper
  2023-11-26 23:08 C:\Program Files (x86)\360
  2023-11-26 23:08 C:\ProgramData\RDP Wrapper
  2023-11-26 23:08 C:\ProgramData\ReaItekHD
  2023-11-26 23:08 C:\ProgramData\Setup
  2023-11-26 23:08 C:\ProgramData\Windows Tasks Service
  2023-11-26 23:08 C:\ProgramData\WindowsTask
  HKU\S-1-5-21-3375298738-2447359386-582546594-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Видны следы прошлогоднего заражения. Сделайте также такой лог:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

[ApploDi 0]

Сделал

AV_block_remove_2024.04.19-18.12.log

[Sandor 1 282]

48 минут назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Этот тоже прикрепите.

[ApploDi 0]

Fixlog.txt

[Sandor 1 282]

Сделайте полную проверку антивирусом Касперского и сообщите результат.

[ApploDi 0]

Ну, тот вирус не выскочил. другие повыскакивали

[Sandor 1 282]

Удалить их пробовали?

[ApploDi 0]

Так, ну вроде все удалилось.  Спасибо большое. Надеюсь вновь не вылезет 

 

[Sandor 1 282]

Хорошо, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[ApploDi 0]

SecurityCheck.txt Сделал

 

Изменено 19 апреля пользователем ApploDi

[Sandor 1 282]

Исправьте по возможности:

 

GPL Ghostscript v.10.02.1 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Ghostscript GPL 10.01.2 (Msi Setup) v.10.01.2 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31332 v.14.32.31332.0 Внимание! Скачать обновления
WinRAR 6.23 (64-разрядная) v.6.23.0 Внимание! Скачать обновления
Discord v.1.0.9017 Внимание! Скачать обновления
BitTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
µTorrent v.3.6.0.47016 Внимание! Клиент сети P2P с рекламным модулем!.
Adobe Acrobat DC v.21.005.20058 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Chrome v.123.0.6312.123 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.22 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Читайте Рекомендации после удаления вредоносного ПО