Проблема HEUR: Trojan.Win64.Miner.gen не исчезает после полной проверки

[Mausidze 0]

Недавно защитник обнаружил файл, который не может нормально удалить или просканировать, решил скачать Kaspersky Premium.
Провёл несколько быстрых сканов, перезагрузок и полную проверку, но постоянно выдаёт при запуске, что удалённый HEUR:Trojan.Win64.Miner.gen вернулся
Распознаёт, если пытаться вылечить без перезагрузки, как криптоджекинг
Прикрепил отчёт программы

otchet.txt

[safety 124]

Цитата

Вчера, 22.10.2024 21:52:19    C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646\ScanProdigy.exe    ScanProdigy.exe    C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646    Файл    Не обработано    Объект не обработан    Не обработано    HEUR:Trojan.Win64.Miner.gen    Троянское приложение    Высокая    Эвристический анализ    Host Process for Windows Services    svchost.exe    C:\Windows\SysWOW64\svchost.exe    C:\Windows\SysWOW64    4896    WORKGROUP\DESKTOP-R1PN8DM$    Инициатор    Пропущено

 

Добавьте необходимые логи правилам

«Порядок оформления запроса о помощи».

+

Сделайте образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

Далее,

основное меню - Дополнительно - Твики - выполнить твик 39.

перегрузить систему,

после перезагрузки, еще раз, запускаем start.exe (от имени Администратора) из папки uVS

текущий пользователь.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

добавьте основные логи по правилам.

 

[Mausidze 0]

Прикрепляю необходимые логи!
 

DESKTOP-R1PN8DM_2024-10-23_08-59-31_v4.99.2v x64.7z CollectionLog-2024.10.23-08.53.zip

[safety 124]

34 минуты назад, Mausidze сказал:

Прикрепляю необходимые логи!

Отлично, ждите скрипт очистки.

[safety 124]

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\ECDA7F\3677E71B86.MSI
delref %SystemRoot%\SYSWOW64\SVCHOST.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMAKCOJOPPODHCGMMCHOHADHPKICOAFKA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DINCOGAKFPFACIKBDIDEGNIAODMALNGNN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 28
regt 29

deltmp
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID]
delref W:\ROMS\PS2\PCSX2 1.2.1\PCSX2-R5875.EXE
delref W:\PLARIUM\PLARIUMPLAY\6.8.0-0.0.0\WIN_10_NOTIFICATION.EXE
delref W:\ROMS\SNES\SNES\SNES9X-X64.EXE
delref %SystemDrive%\USERS\USER\ANACONDA3\PYTHON.EXE
delref %SystemDrive%\USERS\USER\ANACONDA3\CWP.PY
delref %SystemDrive%\USERS\USER\ANACONDA3\SCRIPTS\JUPYTER-NOTEBOOK-SCRIPT.PY
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\HTMLT3.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\HTMLTDB3.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\TADSUINS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\UNINST37EE.INF
delref W:\DEATH STRANDING\DEATH STRANDING\DS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MIFLASHPRO\MIFLASH_PRO.EXE
delref %SystemDrive%\GAMES\YAKUZA 0\UNINS000.EXE
delref %SystemDrive%\GAMES\YAKUZA 0\MEDIA\YAKUZA0.EXE
delref %SystemDrive%\PROGRAM FILES\GENSHIN IMPACT\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\CMAPLE.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\MAPLELAUNCHHELP.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\MAPLEW.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\ACTIVATION.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\WMINT.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\UNINSTALL\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHONW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHON.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, после перезагрузки была реакция антивируса на Miner.gen или нет.

+

Сделайте, дополнительно  логи FRST для контроля.

Цитата

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Изменено 8 часов назад пользователем safety

[Mausidze 0]

Прикрепляю новые логи!
После всех проделанных действий, запустил быструю проверку, прикрепляю её отчёт.
Однако, фоновая и полная проверка пишут, что объекты не обработаны, но в самом центре уведомлений ничего нет. Возможно, не успели обновить проверку?


 

2024-10-23_17-17-06_log.txt FRST.txt Addition.txt otchet.txt

[safety 124]

Судя по новому логу сканирования сегодня обнаружения продолжились:

Цитата

Сегодня, 23.10.2024 5:02:38    pmem:\C:\Windows\SysWOW64\svchost.exe    Вылечено    Объект вылечен    MEM:Backdoor.Win32.Insistent.gen        Файл    pmem:\C:\Windows\SysWOW64    svchost.exe    Вылечено    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

лечение по данному обнаружение со стороны антвируса не помогло, обнаружения продолжались.

Цитата

Сегодня, 23.10.2024 5:28:47    pmem:\C:\Windows\SysWOW64\svchost.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Backdoor.Win32.Insistent.gen    Экспертный анализ    Файл    pmem:\C:\Windows\SysWOW64    svchost.exe    Обнаружено    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

а вот последнее обнаружение

Сегодня, 23.10.2024 7:14:23    System Memory    Не обработано    Объект не обработан    MEM:Backdoor.Win32.Insistent.gen    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

 

Логи FRST сейчас проверю.

[safety 124]

Выполните очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-19\...\RunOnce: [ContentDeliveryAllowed] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager /v ContentDeliveryAllowed /t REG_DWORD /d 0 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [GlobalUserDisabled] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications /v GlobalUserDisabled /t REG_DWORD /d 1 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [ContentDeliveryAllowed] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager /v ContentDeliveryAllowed /t REG_DWORD /d 0 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [GlobalUserDisabled] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications /v GlobalUserDisabled /t REG_DWORD /d 1 /f (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-10-17 11:16 - 2024-10-23 05:13 - 000000000 __SHD C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646
2024-10-17 11:15 - 2024-10-17 11:15 - 001301744 _____ C:\WINDOWS\SysWOW64\echo211.dat
Unlock:: C:\Program Files\RDP Wrapper
Unlock:: C:\Program Files (x86)\360
Unlock:: C:\ProgramData\RDP Wrapper
Unlock:: C:\ProgramData\ReaItekHD
Unlock:: C:\ProgramData\Setup
Unlock:: C:\ProgramData\Windows Tasks Service
Unlock:: C:\ProgramData\WindowsTask
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\Setup
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\Program Files (x86)\360
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

Сделайте еще раз:

Образ автозапуска в uVS

и новый отчет со сканированием в антивирусе Касперского.