Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?

19 апреля

Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe

Удаляет, но с каждой перезагрузкой снова его обнаруживает

CollectionLog-2024.04.19-16.32.zip

Изменено 19 апреля пользователем ApploDi
Приложил логи

19 апреля

Здравствуйте!

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Auslogics Disk Defrag
Driver Booster 11

2.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\achieve-bronze\bin.exe', '');
 QuarantineFile('c:\windows\System32\evntagnt.dll', '');
 QuarantineFile('C:\Windows\SysWOW64\evntagnt.dll', '');
 DeleteFile('C:\ProgramData\achieve-bronze\bin.exe', '64');
 DeleteFile('c:\windows\System32\evntagnt.dll', '');
 DeleteFile('C:\Windows\SysWOW64\evntagnt.dll', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\EvntAgntSvc_5eb5a4\Parameters', 'ServiceDll', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

3.

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O22 - Tasks: \WProxy\WinProxy - C:\Program Files\WProxy\WinProxy\WinProxy.exe (not signed - WProxy - 0BBE19447500840EEE7EB90E990FBD3E236884E9)
O22 - Tasks: Driver Booster Scheduler - C:\Program Files (x86)\IObit\Driver Booster\11.1.0\Scheduler.exe /scheduler (sign: 'IObit CO., LTD')
O22 - Tasks: Driver Booster SkipUAC (Даня) - C:\Program Files (x86)\IObit\Driver Booster\11.1.0\DriverBooster.exe /skipuac (sign: 'IObit CO., LTD')
O22 - Tasks: Driver Booster Update - C:\Program Files (x86)\IObit\Driver Booster\11.1.0\AutoUpdate.exe /auto (sign: 'IObit CO., LTD')

Перезагрузите компьютер вручную.

4.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Изменено 19 апреля пользователем Sandor

19 апреля

Выполнил. Пока всё выполнял ещё пару троянов образовалось... Защитник виндовс после перезагрузки включился - отметил их

FRST.txt Addition.txt

Изменено 19 апреля пользователем ApploDi

19 апреля

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
Edge DefaultSearchKeyword: Default -> x-finder.pro
Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
C:\Users\Даня\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Default -> cdn
C:\Users\Даня\AppData\Local\Google\Chrome\User Data\Default\Extensions\capgokbmccjjiiofgbbokkogaddfinem
C:\Users\Даня\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
C:\Users\Даня\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: Guest Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Guest Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
CHR DefaultSearchKeyword: Guest Profile -> cdn
C:\Users\Даня\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: Profile 2 -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Profile 2 -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: Profile 2 -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Profile 2 -> cdn
C:\Users\Даня\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\caggillkplafbclpmopmnnaofffaabdk
C:\Users\Даня\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
CHR DefaultSearchKeyword: System Profile -> x-finder.pro
CHR DefaultSuggestURL: System Profile -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
CHR Extension: (X-finder.pro) - C:\Users\Даня\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2023-11-16]
CHR HKU\S-1-5-21-3375298738-2447359386-582546594-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
Folder: C:\ProgramData\MoviGenius-463f7f01-be9f-4a1b-a1d3-c94336fc5947
2024-04-10 00:12 - 2024-04-19 16:46 - 000000000 __SHD C:\ProgramData\MoviGenius-463f7f01-be9f-4a1b-a1d3-c94336fc5947
2024-04-19 17:13 - 2023-11-16 23:06 - 000000000 ____D C:\Windows\system32\Tasks\WProxy
2024-04-19 16:50 - 2023-09-14 16:02 - 000000000 ____D C:\ProgramData\ProductData
2024-04-19 16:50 - 2023-09-14 16:01 - 000000000 ____D C:\Users\Даня\AppData\Roaming\IObit
Folder: C:\ProgramData\SpeedyRescue-27a335ee-c88f-4d08-ad43-13702344d48f
Folder: C:\ProgramData\BeatDesigner-4347328e-a9cd-4381-bd16-f01c3d494720
Folder: C:\ProgramData\GameEngineer4D-b32a2214-668c-48e8-881a-ef4bf0f569e4
Folder: C:\ProgramData\PhotoMaestro-56275b07-464d-4086-8035-8f0dd4bbfe0b
2023-11-26 23:08 C:\Program Files\RDP Wrapper
2023-11-26 23:08 C:\Program Files (x86)\360
2023-11-26 23:08 C:\ProgramData\RDP Wrapper
2023-11-26 23:08 C:\ProgramData\ReaItekHD
2023-11-26 23:08 C:\ProgramData\Setup
2023-11-26 23:08 C:\ProgramData\Windows Tasks Service
2023-11-26 23:08 C:\ProgramData\WindowsTask
HKU\S-1-5-21-3375298738-2447359386-582546594-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Видны следы прошлогоднего заражения. Сделайте также такой лог:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

19 апреля

Сделал

AV_block_remove_2024.04.19-18.12.log

19 апреля

48 минут назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Этот тоже прикрепите.

19 апреля

Fixlog.txt

19 апреля

Сделайте полную проверку антивирусом Касперского и сообщите результат.

19 апреля

Ну, тот вирус не выскочил. другие повыскакивали

19 апреля

Удалить их пробовали?

19 апреля

Так, ну вроде все удалилось. Спасибо большое. Надеюсь вновь не вылезет

19 апреля

Хорошо, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

19 апреля

SecurityCheck.txt Сделал

Изменено 19 апреля пользователем ApploDi

20 апреля

Исправьте по возможности:

GPL Ghostscript v.10.02.1 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Ghostscript GPL 10.01.2 (Msi Setup) v.10.01.2 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31332 v.14.32.31332.0 Внимание! Скачать обновления
WinRAR 6.23 (64-разрядная) v.6.23.0 Внимание! Скачать обновления
Discord v.1.0.9017 Внимание! Скачать обновления
BitTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
µTorrent v.3.6.0.47016 Внимание! Клиент сети P2P с рекламным модулем!.
Adobe Acrobat DC v.21.005.20058 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Chrome v.123.0.6312.123 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.22 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Читайте Рекомендации после удаления вредоносного ПО

Войти

Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?

Рекомендуемые сообщения

ApploDi 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

ApploDi 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

ApploDi 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

ApploDi 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

ApploDi 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

ApploDi 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

ApploDi 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

Присоединяйтесь к обсуждению

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum

Sandor 1 282

Sandor 1 282

Sandor 1 282

Sandor 1 282

Sandor 1 282

Sandor 1 282

Sandor 1 282