Перейти к содержанию

[РЕШЕНО] Самовосстанавливающийся HEUR:Trojan.Win64.Miner.gen


Рекомендуемые сообщения

Здравствуйте, 

После установки разных программ установился данный вирус. Пытался несколько раз вылечить, но после перезагрузки троян восстанавливается. Расположение: C:\ProgramData\VideoExpert-c0f6fd3a-9c9e-4948-9dca-21495ea22c37\ Логи прикреплены

CollectionLog-2024.05.13-22.50.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполняем очистку системы в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.


 

;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
delall %SystemDrive%\USERS\ARTIO\APPDATA\ROAMING\TOC\CEK0.EXE
dirzooex %SystemDrive%\PROGRAMDATA\VIDEOEXPERT-C0F6FD3A-9C9E-4948-9DCA-21495EA22C37
deldirex %SystemDrive%\PROGRAMDATA\VIDEOEXPERT-C0F6FD3A-9C9E-4948-9DCA-21495EA22C37
zoo %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\90FC69C7\C87DF0A615.MSI
ZOO C:\Windows\SysWOW64\grid570.dat
delall C:\Windows\SysWOW64\grid570.dat
;------------------------autoscript---------------------------
delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHDDNKOIPEENEGFOEAOIBDMNAALMGKPIP%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\90FC69C7\C87DF0A615.MSI
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delall %SystemDrive%\PROGRAMDATA\PROGRAM-SUMMON\BIN.EXE
zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
addsgn A7679BCB043CC707038351C474FBEDFA5086AA1EDA2D1F780003B1E3D3AB7D4D5656943F7A279C48D495E48E4617CC3A0996614735A8B12DC5E0662FC7F93717 64 Mobsync 7
chklst
delvir
apply
regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\IBHPJUNIGWCAC\KUYHSZR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\QICGVPBPLGUYNSGHZLR\TKICEXW.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DSQXTPIEYUEU2\GJDPANHBMIEOW.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\WDPYUNQPU\JPNBIO.DLL
delref %SystemDrive%\PROGRAMDATA\SFIYOWDCKDZHGYVB\YJIOSWB.WSF
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\24.4.2.885\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\GEONODE\REPOCKET\REPOCKET.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\OPERA\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.16731\OFFICE6\KWPSMENUSHELLEXT64.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref D:\STALCRAFT_GLOBAL
delref %SystemDrive%\USERS\ARTIO\AM_CHEATS\CELESTIAL.EXE
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\OPERA\OPERA.EXE
delref %SystemDrive%\USERS\ARTIO\ONEDRIVE\РАБОЧИЙ СТОЛ\REBORN FPS BOOST PACK\3 ЗАДЕРЖКА\3 ANTILAG\ANTILAG.EXE
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\HIGHSTONE\HIGHSTONE.EXE
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\OPERA\ASSISTANT\BROWSER_ASSISTANT.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Еще я заметил, что пропала автозагрузка в Диспетчере задач. Её можно как то вернуть?image.thumb.png.323e62fdc2e3a345bd21dc296e9e1dd2.png

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, возможно на момент выполнения скрипта файл mobsync.sll уже был удален.

 

zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\SYSWOW64\MOBSYNC.DLL
C:\WINDOWS\SYSWOW64\MOBSYNC.DLL [Не удается найти указанный файл. ]

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM\...\Run: [] => C:\Users\artio\\.exe (Нет файла)
HKLM\...\Run: [ArMuProject] => C:\Users\artio\AM_CHEATS\Celestial.exe (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {75A8BADC-55BC-434E-AF00-DD69772961A0} - \dTnpxKxkbKsoZ2 -> Нет файла <==== ВНИМАНИЕ
Task: {66007DC3-9579-470A-A5A9-89214364FCA1} - System32\Tasks\toby-for-S-1-5-21-541232675-3567230757-705363123-1001 => C:\Windows\System32\msiexec.exe [176128 2022-05-07] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\artio\AppData\Local\Programs\90fc69c7\c87df0a615.msi" /quiet BCEV=1
Task: {3BA2344D-9ABA-4B8A-BC84-AFC3811E8822} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe  (Нет файла)
Task: {8F3BCF23-B488-47E1-8B9D-1E240626863E} - System32\Tasks\zoWzbtLxqmMmTAlSq2 => C:\Windows\system32\rundll32.exe [73728 2022-05-07] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\QIcgvPBPLguYNsGHzlR\TKiCeXW.dll",#1 <==== ВНИМАНИЕ
Edge DefaultSearchKeyword: Default -> x-finder.pro
Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
Edge Extension: (X-finder.pro) - C:\Users\artio\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2024-05-04]
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
CHR DefaultSearchKeyword: System Profile -> x-finder.pro
CHR DefaultSuggestURL: System Profile -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
2024-05-13 11:34 - 2024-05-13 22:09 - 000000000 __SHD C:\ProgramData\VideoExpert-c0f6fd3a-9c9e-4948-9dca-21495ea22c37
2024-05-13 11:34 - 2024-05-13 11:34 - 001144834 _____ C:\Windows\SysWOW64\grid570.dat
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\Setup
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\Program Files (x86)\360
2024-05-04 23:31 - 2024-05-04 23:32 - 000003356 _____ C:\Windows\system32\Tasks\AWsjqmbGbjSzjt
2024-05-04 23:31 - 2024-05-04 23:32 - 000003034 _____ C:\Windows\system32\Tasks\zoWzbtLxqmMmTAlSq2
2024-05-04 23:31 - 2024-05-04 23:32 - 000003026 _____ C:\Windows\system32\Tasks\CpcpIyQZEHEGDGaVcoP2
2024-05-04 23:31 - 2024-05-04 23:32 - 000003008 _____ C:\Windows\system32\Tasks\kGGYvMdxzKuBmUA2
2024-05-04 23:31 - 2024-05-04 23:31 - 000000000 ____D C:\Windows\system32\Tasks\WProxy
2024-05-13 08:55 C:\Program Files\RDP Wrapper
2024-05-13 08:55 C:\Program Files (x86)\360
2024-05-13 08:55 C:\ProgramData\RDP Wrapper
2024-05-13 08:55 C:\ProgramData\ReaItekHD
2024-05-13 08:55 C:\ProgramData\Setup
2024-05-13 08:55 C:\ProgramData\Windows Tasks Service
2024-05-13 08:55 C:\ProgramData\WindowsTask
FirewallRules: [{FC76AA9A-35D6-44C6-B331-A8577D7A50CB}] => (Allow) 㩃啜敳獲慜瑲潩䅜灰慄慴剜慯業杮瑜捯㉜戹乴攮數 => Нет файла
FirewallRules: [{DD2787AA-55FE-401D-8EE3-F45424C4D55B}] => (Allow) 㩃啜敳獲慜瑲潩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{839D3C03-2785-42BA-81E2-BEB80AE638AD}] => (Allow) 㩃啜敳獲慜瑲潩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{EEA67F50-42E4-4E98-9D7D-EA40BA7B16BE}] => (Allow) 㩃啜敳獲慜瑲潩䅜灰慄慴剜慯業杮瑜捯捜歅⸰硥e => Нет файла
FirewallRules: [{91A29726-D63B-433F-8E1D-875311655E6A}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{33D73898-23CA-4F6F-93F3-58AF03697047}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{FEFE4833-AC7F-4B85-BDB1-90C3E48C38B9}] => (Allow) C:\Program Files\WProxy\WinProxy\repocket-m.exe => Нет файла
FirewallRules: [{AE21E4B3-E382-400F-83C0-371E151ABFD8}] => (Allow) C:\Program Files\WProxy\WinProxy\repocket-m.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

Перегрузите систему, проверьте наличие проблем. Напишите об этом.

Ссылка на сообщение
Поделиться на другие сайты

По данной проблеме "пропала автозагрузка в Диспетчере задач" пробуйте погуглить решение , ссылки на решение есть в поисковике, надо пробовать решить это на месте.

Ссылка на сообщение
Поделиться на другие сайты

С автозагрузкой я разобрался, но заметил другую проблему: после всех выполненных скриптов после перезагрузки системы, чтобы клавиатура работала надо переподключать её. Не могла очистка случайно удалить кукую-нибудь важную dll или драйвер?

Изменено пользователем ArtMuz
Ссылка на сообщение
Поделиться на другие сайты

Нет, не  могла. Пробуйте выполнить проверку целостности системы

sfc /scannow 

+

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Всё исправилось после sfc.

Спасибо большое за помощь, без вас я бы сам не смог удалить вирус

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
3 hours ago, safety said:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Полезно будет так же проверить актуальность обновлений системы и установленного ПО. 

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Sv1gL
      От Sv1gL
      Здравствуйте.
      скачиваю лаунчер faceit с официального сайта, при попытки открыть, антивирус находит файл Trojan.Win32.Generic.
      что делать? Лаунчер нужен
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
    • WyneX
      От WyneX
      Здраствуйте, столкнулся с такой проблемой, когда запускаю браузер, игру или какую-либо другую программу, вирус запускает много их копий - это  я заметил открыв диспетчер задач. Я попытался решить проблему сам, сначала я скачал Dr.web, просканировал - не помогло, сделал тоже самое, но в безопасном режиме - не помогло, снёс полностью виндовс - не помогло. Хочу уточнить, что копии открываются и в безопасном режиме. 
      CollectionLog-2024.06.11-05.26.zip
    • anonim7
      От anonim7
      Здравствуйте, вот который день мучаюсь и не знаю что делать.
      Как вирусы пробрались на компьютер понятия не имею, использовал много программ, ни одно из них не справляется. 
      Использовал следующие: RogueKiller, Dr.Web, Hitman Pro, AVZ, Kaspersky. Все запускались отлично, но некоторые из данных программ вовсе не видят вирусы, RogueKiller в свою очередь видит их все прекрасно, но искоренить их он не может.
      Долго думал переустановить Windows в связи с тем, что на компьютере нет ни каких важных файлов и т.д. На нем находятся исключительно игры.
      Помогите пожалуйста, буду признателен.
      !!! https://imgur.com/a/N6hkK1q !!!
    • safo
      От safo
      вообщем.
      история началась с того, что мне понадобилось скачать впн. решил остановить свой выбор на впн касперского и перешел на первый сайт при запросе впн касперский. домен был .ru и я решил проверить точно ли там ру, а не ком. при запросе в яндексе "официальный сайт касперский", я обнаружил что когда я перехожу на сайт, на долю секунду появляется 5015.xg4ken.com. проверился полностью касперским, нашло 3 трояна, но не это. скинул свою десятку и с полным форматированием перешел на 11 винду. настроил все, скачал нужные программы, поставил драйвера и все такое. решил глянуть, осталась ли эта проблема до сих пор. и о какое разочарование, а проблема то осталась даже с новенькой, чистенькой виндой. перерыл весь интернет, прочитал все ответы на этом форуме(был в 2020 вопрос с такой же темой), но ничего не помогло. можете помочь с этой проблемой? я уже боюсь браузером пользоваться.
      а и в дополнение скажу, что такое только с сайтом касперский. остальные вроде как загружаются без 5015.xg4ken.com
    • Nikita31Il
      От Nikita31Il
      Сканировал DrWeb вчера вируса не было, сегодня что то скачал и показывает что вирус, не лечит, пишет ошибку лечения, помогите пожалуйста.
×
×
  • Создать...