Перейти к содержанию

[РЕШЕНО] Самовосстанавливающийся HEUR:Trojan.Win64.Miner.gen


Рекомендуемые сообщения

Здравствуйте, 

После установки разных программ установился данный вирус. Пытался несколько раз вылечить, но после перезагрузки троян восстанавливается. Расположение: C:\ProgramData\VideoExpert-c0f6fd3a-9c9e-4948-9dca-21495ea22c37\ Логи прикреплены

CollectionLog-2024.05.13-22.50.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполняем очистку системы в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.


 

;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
delall %SystemDrive%\USERS\ARTIO\APPDATA\ROAMING\TOC\CEK0.EXE
dirzooex %SystemDrive%\PROGRAMDATA\VIDEOEXPERT-C0F6FD3A-9C9E-4948-9DCA-21495EA22C37
deldirex %SystemDrive%\PROGRAMDATA\VIDEOEXPERT-C0F6FD3A-9C9E-4948-9DCA-21495EA22C37
zoo %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\90FC69C7\C87DF0A615.MSI
ZOO C:\Windows\SysWOW64\grid570.dat
delall C:\Windows\SysWOW64\grid570.dat
;------------------------autoscript---------------------------
delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHDDNKOIPEENEGFOEAOIBDMNAALMGKPIP%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\90FC69C7\C87DF0A615.MSI
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delall %SystemDrive%\PROGRAMDATA\PROGRAM-SUMMON\BIN.EXE
zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
addsgn A7679BCB043CC707038351C474FBEDFA5086AA1EDA2D1F780003B1E3D3AB7D4D5656943F7A279C48D495E48E4617CC3A0996614735A8B12DC5E0662FC7F93717 64 Mobsync 7
chklst
delvir
apply
regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\IBHPJUNIGWCAC\KUYHSZR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\QICGVPBPLGUYNSGHZLR\TKICEXW.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DSQXTPIEYUEU2\GJDPANHBMIEOW.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\WDPYUNQPU\JPNBIO.DLL
delref %SystemDrive%\PROGRAMDATA\SFIYOWDCKDZHGYVB\YJIOSWB.WSF
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\24.4.2.885\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\GEONODE\REPOCKET\REPOCKET.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\OPERA\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.16731\OFFICE6\KWPSMENUSHELLEXT64.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref D:\STALCRAFT_GLOBAL
delref %SystemDrive%\USERS\ARTIO\AM_CHEATS\CELESTIAL.EXE
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\OPERA\OPERA.EXE
delref %SystemDrive%\USERS\ARTIO\ONEDRIVE\РАБОЧИЙ СТОЛ\REBORN FPS BOOST PACK\3 ЗАДЕРЖКА\3 ANTILAG\ANTILAG.EXE
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\HIGHSTONE\HIGHSTONE.EXE
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\OPERA\ASSISTANT\BROWSER_ASSISTANT.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Хорошо, возможно на момент выполнения скрипта файл mobsync.sll уже был удален.

 

zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\SYSWOW64\MOBSYNC.DLL
C:\WINDOWS\SYSWOW64\MOBSYNC.DLL [Не удается найти указанный файл. ]

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM\...\Run: [] => C:\Users\artio\\.exe (Нет файла)
HKLM\...\Run: [ArMuProject] => C:\Users\artio\AM_CHEATS\Celestial.exe (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {75A8BADC-55BC-434E-AF00-DD69772961A0} - \dTnpxKxkbKsoZ2 -> Нет файла <==== ВНИМАНИЕ
Task: {66007DC3-9579-470A-A5A9-89214364FCA1} - System32\Tasks\toby-for-S-1-5-21-541232675-3567230757-705363123-1001 => C:\Windows\System32\msiexec.exe [176128 2022-05-07] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\artio\AppData\Local\Programs\90fc69c7\c87df0a615.msi" /quiet BCEV=1
Task: {3BA2344D-9ABA-4B8A-BC84-AFC3811E8822} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe  (Нет файла)
Task: {8F3BCF23-B488-47E1-8B9D-1E240626863E} - System32\Tasks\zoWzbtLxqmMmTAlSq2 => C:\Windows\system32\rundll32.exe [73728 2022-05-07] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\QIcgvPBPLguYNsGHzlR\TKiCeXW.dll",#1 <==== ВНИМАНИЕ
Edge DefaultSearchKeyword: Default -> x-finder.pro
Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
Edge Extension: (X-finder.pro) - C:\Users\artio\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2024-05-04]
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
CHR DefaultSearchKeyword: System Profile -> x-finder.pro
CHR DefaultSuggestURL: System Profile -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
2024-05-13 11:34 - 2024-05-13 22:09 - 000000000 __SHD C:\ProgramData\VideoExpert-c0f6fd3a-9c9e-4948-9dca-21495ea22c37
2024-05-13 11:34 - 2024-05-13 11:34 - 001144834 _____ C:\Windows\SysWOW64\grid570.dat
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\Setup
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\Program Files (x86)\360
2024-05-04 23:31 - 2024-05-04 23:32 - 000003356 _____ C:\Windows\system32\Tasks\AWsjqmbGbjSzjt
2024-05-04 23:31 - 2024-05-04 23:32 - 000003034 _____ C:\Windows\system32\Tasks\zoWzbtLxqmMmTAlSq2
2024-05-04 23:31 - 2024-05-04 23:32 - 000003026 _____ C:\Windows\system32\Tasks\CpcpIyQZEHEGDGaVcoP2
2024-05-04 23:31 - 2024-05-04 23:32 - 000003008 _____ C:\Windows\system32\Tasks\kGGYvMdxzKuBmUA2
2024-05-04 23:31 - 2024-05-04 23:31 - 000000000 ____D C:\Windows\system32\Tasks\WProxy
2024-05-13 08:55 C:\Program Files\RDP Wrapper
2024-05-13 08:55 C:\Program Files (x86)\360
2024-05-13 08:55 C:\ProgramData\RDP Wrapper
2024-05-13 08:55 C:\ProgramData\ReaItekHD
2024-05-13 08:55 C:\ProgramData\Setup
2024-05-13 08:55 C:\ProgramData\Windows Tasks Service
2024-05-13 08:55 C:\ProgramData\WindowsTask
FirewallRules: [{FC76AA9A-35D6-44C6-B331-A8577D7A50CB}] => (Allow) 㩃啜敳獲慜瑲潩䅜灰慄慴剜慯業杮瑜捯㉜戹乴攮數 => Нет файла
FirewallRules: [{DD2787AA-55FE-401D-8EE3-F45424C4D55B}] => (Allow) 㩃啜敳獲慜瑲潩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{839D3C03-2785-42BA-81E2-BEB80AE638AD}] => (Allow) 㩃啜敳獲慜瑲潩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{EEA67F50-42E4-4E98-9D7D-EA40BA7B16BE}] => (Allow) 㩃啜敳獲慜瑲潩䅜灰慄慴剜慯業杮瑜捯捜歅⸰硥e => Нет файла
FirewallRules: [{91A29726-D63B-433F-8E1D-875311655E6A}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{33D73898-23CA-4F6F-93F3-58AF03697047}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{FEFE4833-AC7F-4B85-BDB1-90C3E48C38B9}] => (Allow) C:\Program Files\WProxy\WinProxy\repocket-m.exe => Нет файла
FirewallRules: [{AE21E4B3-E382-400F-83C0-371E151ABFD8}] => (Allow) C:\Program Files\WProxy\WinProxy\repocket-m.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

Перегрузите систему, проверьте наличие проблем. Напишите об этом.

Ссылка на комментарий
Поделиться на другие сайты

По данной проблеме "пропала автозагрузка в Диспетчере задач" пробуйте погуглить решение , ссылки на решение есть в поисковике, надо пробовать решить это на месте.

Ссылка на комментарий
Поделиться на другие сайты

С автозагрузкой я разобрался, но заметил другую проблему: после всех выполненных скриптов после перезагрузки системы, чтобы клавиатура работала надо переподключать её. Не могла очистка случайно удалить кукую-нибудь важную dll или драйвер?

Изменено пользователем ArtMuz
Ссылка на комментарий
Поделиться на другие сайты

Нет, не  могла. Пробуйте выполнить проверку целостности системы

sfc /scannow 

+

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Всё исправилось после sfc.

Спасибо большое за помощь, без вас я бы сам не смог удалить вирус

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

3 hours ago, safety said:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Полезно будет так же проверить актуальность обновлений системы и установленного ПО. 

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Mausidze
      От Mausidze
      Недавно защитник обнаружил файл, который не может нормально удалить или просканировать, решил скачать Kaspersky Premium.
      Провёл несколько быстрых сканов, перезагрузок и полную проверку, но постоянно выдаёт при запуске, что удалённый HEUR:Trojan.Win64.Miner.gen вернулся
      Распознаёт, если пытаться вылечить без перезагрузки, как криптоджекинг
      Прикрепил отчёт программы
      otchet.txt
    • Александр_38
      От Александр_38
      DESKTOP-0MLA7HG_2024-11-02_21-02-48_v4.99.2v x64.7z
       
      Никак не могу справиться с данной проблемой, пытался прочитать на ваших форумах, но не совсем понял.
    • Павел11
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • dogmos
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
    • Paul_Backley
      От Paul_Backley
      Не удаляется вирус даже после полной очистки. 
       
      Помогите пожалуйста. 

×
×
  • Создать...