[РЕШЕНО] Самовосстанавливающийся HEUR:Trojan.Win64.Miner.gen

[ArtMuz 1]

Здравствуйте, 

После установки разных программ установился данный вирус. Пытался несколько раз вылечить, но после перезагрузки троян восстанавливается. Расположение: C:\ProgramData\VideoExpert-c0f6fd3a-9c9e-4948-9dca-21495ea22c37\ Логи прикреплены

CollectionLog-2024.05.13-22.50.zip

[ArtMuz 1]

Вот еще логи. Делал по инструкции из похожих тем

 

Addition.txt FRST.txt DESKTOP-CKKQ79M_2024-05-13_22-31-40_v4.15.3v.7z

[safety 101]

Выполняем очистку системы в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.

 

;uVS v4.15.3v [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
delall %SystemDrive%\USERS\ARTIO\APPDATA\ROAMING\TOC\CEK0.EXE
dirzooex %SystemDrive%\PROGRAMDATA\VIDEOEXPERT-C0F6FD3A-9C9E-4948-9DCA-21495EA22C37
deldirex %SystemDrive%\PROGRAMDATA\VIDEOEXPERT-C0F6FD3A-9C9E-4948-9DCA-21495EA22C37
zoo %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\90FC69C7\C87DF0A615.MSI
ZOO C:\Windows\SysWOW64\grid570.dat
delall C:\Windows\SysWOW64\grid570.dat
;------------------------autoscript---------------------------
delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHDDNKOIPEENEGFOEAOIBDMNAALMGKPIP%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\90FC69C7\C87DF0A615.MSI
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delall %SystemDrive%\PROGRAMDATA\PROGRAM-SUMMON\BIN.EXE
zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
addsgn A7679BCB043CC707038351C474FBEDFA5086AA1EDA2D1F780003B1E3D3AB7D4D5656943F7A279C48D495E48E4617CC3A0996614735A8B12DC5E0662FC7F93717 64 Mobsync 7
chklst
delvir
apply
regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\IBHPJUNIGWCAC\KUYHSZR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\QICGVPBPLGUYNSGHZLR\TKICEXW.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DSQXTPIEYUEU2\GJDPANHBMIEOW.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\WDPYUNQPU\JPNBIO.DLL
delref %SystemDrive%\PROGRAMDATA\SFIYOWDCKDZHGYVB\YJIOSWB.WSF
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\24.4.2.885\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\GEONODE\REPOCKET\REPOCKET.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\OPERA\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.16731\OFFICE6\KWPSMENUSHELLEXT64.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref D:\STALCRAFT_GLOBAL
delref %SystemDrive%\USERS\ARTIO\AM_CHEATS\CELESTIAL.EXE
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\OPERA\OPERA.EXE
delref %SystemDrive%\USERS\ARTIO\ONEDRIVE\РАБОЧИЙ СТОЛ\REBORN FPS BOOST PACK\3 ЗАДЕРЖКА\3 ANTILAG\ANTILAG.EXE
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\HIGHSTONE\HIGHSTONE.EXE
delref %SystemDrive%\USERS\ARTIO\APPDATA\LOCAL\PROGRAMS\OPERA\ASSISTANT\BROWSER_ASSISTANT.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено 13 мая пользователем safety

[ArtMuz 1]

2024-05-14_09-06-27_log.txt Вроде все очистилось и майнер уже не работает

ссылка га Гугл диск.txt

2024-05-14_09-06-27_log.txt

[ArtMuz 1]

Еще я заметил, что пропала автозагрузка в Диспетчере задач. Её можно как то вернуть?

[safety 101]

Хорошо, возможно на момент выполнения скрипта файл mobsync.sll уже был удален.

 

zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\SYSWOW64\MOBSYNC.DLL
C:\WINDOWS\SYSWOW64\MOBSYNC.DLL [Не удается найти указанный файл. ]

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM\...\Run: [] => C:\Users\artio\\.exe (Нет файла)
HKLM\...\Run: [ArMuProject] => C:\Users\artio\AM_CHEATS\Celestial.exe (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {75A8BADC-55BC-434E-AF00-DD69772961A0} - \dTnpxKxkbKsoZ2 -> Нет файла <==== ВНИМАНИЕ
Task: {66007DC3-9579-470A-A5A9-89214364FCA1} - System32\Tasks\toby-for-S-1-5-21-541232675-3567230757-705363123-1001 => C:\Windows\System32\msiexec.exe [176128 2022-05-07] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\artio\AppData\Local\Programs\90fc69c7\c87df0a615.msi" /quiet BCEV=1
Task: {3BA2344D-9ABA-4B8A-BC84-AFC3811E8822} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe  (Нет файла)
Task: {8F3BCF23-B488-47E1-8B9D-1E240626863E} - System32\Tasks\zoWzbtLxqmMmTAlSq2 => C:\Windows\system32\rundll32.exe [73728 2022-05-07] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\QIcgvPBPLguYNsGHzlR\TKiCeXW.dll",#1 <==== ВНИМАНИЕ
Edge DefaultSearchKeyword: Default -> x-finder.pro
Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
Edge Extension: (X-finder.pro) - C:\Users\artio\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2024-05-04]
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
CHR DefaultSearchKeyword: System Profile -> x-finder.pro
CHR DefaultSuggestURL: System Profile -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
2024-05-13 11:34 - 2024-05-13 22:09 - 000000000 __SHD C:\ProgramData\VideoExpert-c0f6fd3a-9c9e-4948-9dca-21495ea22c37
2024-05-13 11:34 - 2024-05-13 11:34 - 001144834 _____ C:\Windows\SysWOW64\grid570.dat
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\Setup
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-05-13 08:55 - 2024-05-13 08:55 - 000000000 _RSHD C:\Program Files (x86)\360
2024-05-04 23:31 - 2024-05-04 23:32 - 000003356 _____ C:\Windows\system32\Tasks\AWsjqmbGbjSzjt
2024-05-04 23:31 - 2024-05-04 23:32 - 000003034 _____ C:\Windows\system32\Tasks\zoWzbtLxqmMmTAlSq2
2024-05-04 23:31 - 2024-05-04 23:32 - 000003026 _____ C:\Windows\system32\Tasks\CpcpIyQZEHEGDGaVcoP2
2024-05-04 23:31 - 2024-05-04 23:32 - 000003008 _____ C:\Windows\system32\Tasks\kGGYvMdxzKuBmUA2
2024-05-04 23:31 - 2024-05-04 23:31 - 000000000 ____D C:\Windows\system32\Tasks\WProxy
2024-05-13 08:55 C:\Program Files\RDP Wrapper
2024-05-13 08:55 C:\Program Files (x86)\360
2024-05-13 08:55 C:\ProgramData\RDP Wrapper
2024-05-13 08:55 C:\ProgramData\ReaItekHD
2024-05-13 08:55 C:\ProgramData\Setup
2024-05-13 08:55 C:\ProgramData\Windows Tasks Service
2024-05-13 08:55 C:\ProgramData\WindowsTask
FirewallRules: [{FC76AA9A-35D6-44C6-B331-A8577D7A50CB}] => (Allow) 㩃啜敳獲慜瑲潩䅜灰慄慴剜慯業杮瑜捯㉜戹乴攮數 => Нет файла
FirewallRules: [{DD2787AA-55FE-401D-8EE3-F45424C4D55B}] => (Allow) 㩃啜敳獲慜瑲潩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{839D3C03-2785-42BA-81E2-BEB80AE638AD}] => (Allow) 㩃啜敳獲慜瑲潩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{EEA67F50-42E4-4E98-9D7D-EA40BA7B16BE}] => (Allow) 㩃啜敳獲慜瑲潩䅜灰慄慴剜慯業杮瑜捯捜歅⸰硥e => Нет файла
FirewallRules: [{91A29726-D63B-433F-8E1D-875311655E6A}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{33D73898-23CA-4F6F-93F3-58AF03697047}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{FEFE4833-AC7F-4B85-BDB1-90C3E48C38B9}] => (Allow) C:\Program Files\WProxy\WinProxy\repocket-m.exe => Нет файла
FirewallRules: [{AE21E4B3-E382-400F-83C0-371E151ABFD8}] => (Allow) C:\Program Files\WProxy\WinProxy\repocket-m.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

Перегрузите систему, проверьте наличие проблем. Напишите об этом.

[ArtMuz 1]

Fixlog.txt

[safety 101]

По данной проблеме "пропала автозагрузка в Диспетчере задач" пробуйте погуглить решение , ссылки на решение есть в поисковике, надо пробовать решить это на месте.

[ArtMuz 1]

С автозагрузкой я разобрался, но заметил другую проблему: после всех выполненных скриптов после перезагрузки системы, чтобы клавиатура работала надо переподключать её. Не могла очистка случайно удалить кукую-нибудь важную dll или драйвер?

Изменено 14 мая пользователем ArtMuz

[safety 101]

Нет, не  могла. Пробуйте выполнить проверку целостности системы

sfc /scannow 

+

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

Изменено 15 мая пользователем safety

[ArtMuz 1]

Всё исправилось после sfc.

Спасибо большое за помощь, без вас я бы сам не смог удалить вирус

[safety 101]

3 hours ago, safety said:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Полезно будет так же проверить актуальность обновлений системы и установленного ПО. 

[safety 101]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".