Перейти к содержанию

[РЕШЕНО] Проблема HEUR: Trojan.Win64.Miner.gen не исчезает после полной проверки


Рекомендуемые сообщения

Опубликовано

Недавно защитник обнаружил файл, который не может нормально удалить или просканировать, решил скачать Kaspersky Premium.
Провёл несколько быстрых сканов, перезагрузок и полную проверку, но постоянно выдаёт при запуске, что удалённый HEUR:Trojan.Win64.Miner.gen вернулся
Распознаёт, если пытаться вылечить без перезагрузки, как криптоджекинг
Прикрепил отчёт программы

otchet.txt

Опубликовано
Цитата

Вчера, 22.10.2024 21:52:19    C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646\ScanProdigy.exe    ScanProdigy.exe    C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646    Файл    Не обработано    Объект не обработан    Не обработано    HEUR:Trojan.Win64.Miner.gen    Троянское приложение    Высокая    Эвристический анализ    Host Process for Windows Services    svchost.exe    C:\Windows\SysWOW64\svchost.exe    C:\Windows\SysWOW64    4896    WORKGROUP\DESKTOP-R1PN8DM$    Инициатор    Пропущено

 

Добавьте необходимые логи правилам

«Порядок оформления запроса о помощи».

+

Сделайте образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

Далее,

основное меню - Дополнительно - Твики - выполнить твик 39.

перегрузить систему,

после перезагрузки, еще раз, запускаем start.exe (от имени Администратора) из папки uVS

текущий пользователь.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

добавьте основные логи по правилам.

 

Опубликовано
34 минуты назад, Mausidze сказал:

Прикрепляю необходимые логи!

Отлично, ждите скрипт очистки.

Опубликовано (изменено)

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\ECDA7F\3677E71B86.MSI
delref %SystemRoot%\SYSWOW64\SVCHOST.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMAKCOJOPPODHCGMMCHOHADHPKICOAFKA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DINCOGAKFPFACIKBDIDEGNIAODMALNGNN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 28
regt 29

deltmp
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID]
delref W:\ROMS\PS2\PCSX2 1.2.1\PCSX2-R5875.EXE
delref W:\PLARIUM\PLARIUMPLAY\6.8.0-0.0.0\WIN_10_NOTIFICATION.EXE
delref W:\ROMS\SNES\SNES\SNES9X-X64.EXE
delref %SystemDrive%\USERS\USER\ANACONDA3\PYTHON.EXE
delref %SystemDrive%\USERS\USER\ANACONDA3\CWP.PY
delref %SystemDrive%\USERS\USER\ANACONDA3\SCRIPTS\JUPYTER-NOTEBOOK-SCRIPT.PY
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\HTMLT3.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\HTMLTDB3.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\TADSUINS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\UNINST37EE.INF
delref W:\DEATH STRANDING\DEATH STRANDING\DS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MIFLASHPRO\MIFLASH_PRO.EXE
delref %SystemDrive%\GAMES\YAKUZA 0\UNINS000.EXE
delref %SystemDrive%\GAMES\YAKUZA 0\MEDIA\YAKUZA0.EXE
delref %SystemDrive%\PROGRAM FILES\GENSHIN IMPACT\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\CMAPLE.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\MAPLELAUNCHHELP.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\MAPLEW.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\ACTIVATION.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\WMINT.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\UNINSTALL\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHONW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHON.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, после перезагрузки была реакция антивируса на Miner.gen или нет.

+

Сделайте, дополнительно  логи FRST для контроля.

Цитата

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Изменено пользователем safety
Опубликовано

Прикрепляю новые логи!
После всех проделанных действий, запустил быструю проверку, прикрепляю её отчёт.
Однако, фоновая и полная проверка пишут, что объекты не обработаны, но в самом центре уведомлений ничего нет. Возможно, не успели обновить проверку?
image.thumb.png.cb0386073efceb9d96a12f1b3dfc08fc.png
image.thumb.png.0da894986bd0b14d0884352cb50117db.png
 

2024-10-23_17-17-06_log.txt FRST.txt Addition.txt otchet.txt

Опубликовано

Судя по новому логу сканирования сегодня обнаружения продолжились:

Цитата

Сегодня, 23.10.2024 5:02:38    pmem:\C:\Windows\SysWOW64\svchost.exe    Вылечено    Объект вылечен    MEM:Backdoor.Win32.Insistent.gen        Файл    pmem:\C:\Windows\SysWOW64    svchost.exe    Вылечено    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

лечение по данному обнаружение со стороны антвируса не помогло, обнаружения продолжались.

Цитата

Сегодня, 23.10.2024 5:28:47    pmem:\C:\Windows\SysWOW64\svchost.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Backdoor.Win32.Insistent.gen    Экспертный анализ    Файл    pmem:\C:\Windows\SysWOW64    svchost.exe    Обнаружено    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

а вот последнее обнаружение

Сегодня, 23.10.2024 7:14:23    System Memory    Не обработано    Объект не обработан    MEM:Backdoor.Win32.Insistent.gen    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

 

Логи FRST сейчас проверю.

Опубликовано (изменено)

Выполните очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-19\...\RunOnce: [ContentDeliveryAllowed] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager /v ContentDeliveryAllowed /t REG_DWORD /d 0 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [GlobalUserDisabled] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications /v GlobalUserDisabled /t REG_DWORD /d 1 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [ContentDeliveryAllowed] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager /v ContentDeliveryAllowed /t REG_DWORD /d 0 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [GlobalUserDisabled] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications /v GlobalUserDisabled /t REG_DWORD /d 1 /f (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-10-17 11:16 - 2024-10-23 05:13 - 000000000 __SHD C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646
2024-10-17 11:15 - 2024-10-17 11:15 - 001301744 _____ C:\WINDOWS\SysWOW64\echo211.dat
Unlock:: C:\Program Files\RDP Wrapper
Unlock:: C:\Program Files (x86)\360
Unlock:: C:\ProgramData\RDP Wrapper
Unlock:: C:\ProgramData\ReaItekHD
Unlock:: C:\ProgramData\Setup
Unlock:: C:\ProgramData\Windows Tasks Service
Unlock:: C:\ProgramData\WindowsTask
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\Setup
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\Program Files (x86)\360
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [5162]
AlternateDataStreams: C:\ProgramData\merjmevq.cmt:65433143E6 [5162]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [5162]
AlternateDataStreams: C:\ProgramData\sldh.dat:136096DD5B [5162]
AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat.lnk:1FA7E99ECA [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2019.lnk:6569B2479D [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firmware updater for DualSense™ wireless controller.lnk:984BC2B727 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky.lnk:C47623E859 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Newgrounds Player.lnk:61530B8D4C [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sublime Merge.lnk:1DA94F4472 [5162]
AlternateDataStreams: C:\Users\User\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\User\AppData\Local\Microsoft:ISBD [66]
AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

Сделайте еще раз:

Образ автозапуска в uVS

и новый отчет со сканированием в антивирусе Касперского.

Изменено пользователем safety
Опубликовано

Скрипт для FRST обновил, если уже выполнили его, выполните повторно.

Опубликовано (изменено)

Судя по новой проверке Касперского обнаружений в памяти нет, но есть реакция на эти модули.

 

Цитата

Сегодня, 23.10.2024 17:25:03    C:\dis_fix\bin\WinDivert64.sys    Обнаружено    Информация об обнаруженном объекте    not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen    Экспертный анализ    Файл    C:\dis_fix\bin    WinDivert64.sys    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь
Сегодня, 23.10.2024 18:35:16    C:\dis_fix\bin\WinDivert64.sys    Обнаружено    Информация об обнаруженном объекте    not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen    Экспертный анализ    Файл    C:\dis_fix\bin    WinDivert64.sys    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь
Сегодня, 23.10.2024 18:44:15    C:\dis_fix\bin\WinDivert64.sys    Обнаружено    Информация об обнаруженном объекте    not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen    Экспертный анализ    Файл    C:\dis_fix\bin    WinDivert64.sys    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

 

Есть реакция и других антивирусов на файлы из каталога dis_fix

 


 

Цитата

 

Полное имя                  C:\DIS_FIX\BIN\WINWS.EXE
Имя файла                   WINWS.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске Фильтр
                            
Lionic                      Trojan.Win32.Generic.4!c
MicroWorld-eScan            Trojan.GenericKD.74326620
McAfee                      Artemis!8C624E64742B
Malwarebytes                Generic.Malware/Suspicious
VIPRE                       Trojan.GenericKD.74326620
Sangfor                     Trojan.Win32.Agent.V8t8
BitDefender                 Trojan.GenericKD.74326620
VirIT                       Trojan.Win64.Agent.FYL
GData                       Trojan.GenericKD.74326620
McAfeeD                     ti!13FD7A9C6F7C
CTX                         exe.trojan.generic
FireEye                     Trojan.GenericKD.74326620
Varist                      W64/ABTrojan.QFMB-3867
Antiy-AVL                   Trojan/Win32.Agent
Gridinsoft                  Malware.Win64.Gen.ca
Arcabit                     Trojan.Generic.D46E225C
AhnLab-V3                   Trojan/Win.Generic.R672938
ALYac                       Trojan.GenericKD.74326620
MaxSecure                   Trojan.Malware.284651105.susgen
Fortinet                    W32/PossibleThreat
alibabacloud                Suspicious
www.virustotal.com          2024-10-23 15:27 [2024-09-22]
                            
Ссылки на объект            
Ссылка                      HKLM\SYSTEM\ControlSet001\Services\zapret\ImagePath
ImagePath                   C:\dis_fix\bin\winws.exe --wf-tcp=80,443 --wf-udp=443,50000-65535 --filter-udp=443 --hostlist="C:\dis_fix\list-general.txt" --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=6 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic="C:\dis_fix\bin\quic_initial_www_google_com.bin" --new --filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-fake-quic="C:\dis_fix\bin\quic_initial_www_google_com.bin" --new --filter-tcp=80 --hostlist="C:\dis_fix\list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new --filter-tcp=443 --hostlist="C:\dis_fix\list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls="C:\dis_fix\bin\tls_clienthello_www_google_com.bin"
DisplayName                 zapret DPI bypass : winws1
Description                 zapret DPI bypass software
zapret                      тип запуска: Авто (2)
Изменен                     10.10.2024 в 07:20:12
                            
 

 

 

 

 

Чистим?

Или вы используете его для серфинга в сети Интернет?

Изменено пользователем safety
Опубликовано

Полное имя                  C:\DIS_FIX\BIN\WINDIVERT64.SYS

Цитата

Имя файла                   WINDIVERT64.SYS
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске
                            
Elastic                     Windows.VulnDriver.WinDivert
Kaspersky                   not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen
www.virustotal.com          2024-10-23 14:40 [2022-09-21]
                            
Ссылки на объект            
Ссылка                      HKLM\SYSTEM\ControlSet001\Services\WinDivert\ImagePath
ImagePath                   \??\C:\dis_fix\bin\WinDivert64.sys
DisplayName                 WinDivert
WinDivert                   тип запуска: Отключено (4)
Изменен                     23.10.2024 в 18:42:01


                            

 

Что еще можно сделать: можно очистить отчеты Касперского и понаблюдать за детектами еще некоторое время.

Потом примем  решение: чистить или нет, если вы используете полезные функции данного софта.

Опубликовано

Это известная мне программа/утилита, необходимая для работы, с ней всё в порядке, думаю, в ближайшей полной проверке добавлю её в список для игнорирования.
Если всё остальное исправлено, то безмерно благодарен!

Опубликовано

Хорошо, ждем результаты новой полной проверки

+

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Опубликовано

Извиняюсь за задержку, полная проверка заняла куда больше времени. Прикрепляю файлы.
После проверки осталось обработать несколько файлов, как раз этим и занимаюсь попутно, но с ними особых проблем не возникало и думаю, что сам антивирус с ними разобраться должен.
Файл полной проверки оказался слишком громоздким, поэтому разделил его на несколько частей (otchet#.txt)
 

SecurityCheck.txt otchet3.txt otchet4.txt

otchet5.txt

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Ольга Кот
      Автор Ольга Кот
      Здравствуйте!
      Антивирус выявил вредоносные приложения (скрин прилагаю). Trojan и MEM:Backdoor.Win32.Insistent.gen.  Всегда ссылается на файл svchost.exe и еще может подтянуть другие. "Лечение с перезагрузкой" не помогает, пробовали руками удалять папки, но после перезагрузки все восстанавливается. Скорее всего подцепили эту заразу в 24.06 - 27.06, ноутбук периодически стал шуметь в спящем режиме и греться, майнингом не занимаемся. Просим оказать содействие в решении этих проблем. Скачала сразу программу для логов, прилагаю файл.

      CollectionLog-2025.07.01-15.08.zip
    • Shytnik
      Автор Shytnik
      Здравствуйте. В один момент перестало работать всё с ошибкой «Отказано в доступе». «Касперский» нашел этот вирус и вроде как успешно вылечил с перезагрузкой.
       
      После удаления автоматически запустилась проверка, которая по непонятным причинам сама по себе приостанавливалась три раза. Также по какой-то причине переставали грузиться на некоторое время сайты. Посчитал, что это какое-то подозрительное поведение, и отключил на всякий случай интернет. «Касперский» завершил сканирование и удалил еще кучу скриптов из папки браузера.
       
      В интернете нашел страницу на «Ответах» Mail.ru, где человек писал, что этот вирус после удаления «Касперским» «воскресает». Немного беспокоит эта перспектива, т. к. переустанавливать Windows не хочется. Можно как-то проверить, осталась ли эта гадость в системе?
      CollectionLog-2025.07.04-16.29.zip
    • Yann
      Автор Yann
      И снова здраствуйте.
      Недавно обращался по поводу вируса который пережил снос винды и форматирование, казалось что проблема была решена, но как оказалось не полностью.
      Сегодня при скачке экзешника мод менеджера с официального сайта снова был детект антивирусом, тоже самое что было при скачивании экзешника браузера из прошлой темы.
      Пробовал скачивать с других устройств, по той же ссылке и проблем не возникало, другие люди по моей просьбе повторяли это действие и тоже без проблем, так что это очевидно не проблема ресурса с которого скачивалось.
      Такое ощущение что он пытается подделывать здоровые исполнительные файлы на лету, как только они попадают на пк.
      Ради интереса сделал несколько попыток скачать надеясь увидеть в журнале карантина что нибудь полезное.
      Судя по всему маскируется под временные файлы системы, доктор веб определяет его как trojan.siggen31.50695, при этом ни CureIt ни KVRT ничего не находят при скане.
      С системой пока что никаких проблем нету, не излишних нагрузок, не просадок стабильности, но очевидно что там что то осталось.
      Прошу помощи добить эту заразу!
      Прикладываю новые логи и скрин из журнала карантина:
       
      CollectionLog-2025.08.26-18.15.zip
    • Ян Том
      Автор Ян Том
      Добрый день!
      Компьютер словил HEUR:Trojan.Win32.Miner.gen HEUR:Trojan.Multi.Runner.t. 
      Прогнал CureIt, и KVR, а также AutoLogger.
       
      Спасибо!
      CollectionLog-2025.04.09-21.33.zip
    • Eugene_Konovalov
      Автор Eugene_Konovalov
      Добрый день, уважаемые эксперты.
      К сожалению для себя, поймал вчера очень крепкий майнер taskhostw.exe, который, судя по всему, совсем недавно обновили, потому что у меня никак не получается его искоренить, далее по порядку:
      1. С самого же начала установил на загрузочную флешку с офф сайта свежий kaspersky rescue disk с помощью безопасного режима с сетью (т.к. вирус, как вы и сами знаете, не дает что-либо скачать и загуглить), прогнал систему через него (6 часов шла проверка), нашел около 40 файлов (10 из которых не вирус, но не важно), потом еще раз там же прогнал уже через расширенный поиск, также удалил некоторое количество файлов этого майнера, после чего зашел в систему (все также в безопасном режиме), почистил реестр в двух папках run, перезашел в систему уже без безопасного режима, но снова открылась консоль, снова он себя докачал и снова начал издеваться над моими системой и железом
      2. После данной неудачной попытки, я установил curelt (опять же, из безопасного режима), прогнал его и снова обнаружил 6 угроз, вылечил их, после чего также прогнал систему через av block remover, она автоматом перезапустилась и даже через безопасный режим вновь создала мне автозакрытие браузеров в регистре в папке run (то есть, и этот способ не помог)... уже максимально отчаявшись я сделал все необходимые логи (Curelt, DrWeb-Sysinfo, av block remover logs, а также логи из FRST64, все это я загрузил на гугл диск для удобства: https://drive.google.com/drive/folders/1vlDNd2tWZxOUIlr24QwFEnKORR9XTBzl?usp=sharing, autologger же приложил к самой теме), после чего создал эту тему
      Очень надеюсь на вашу помощь!
      PS систему мне сносить никак нельзя, у меня в ней очень много важных рабочих файлов и документов весом в более около двух терабайт, так что я их даже на внешний диск перенести не могу)
      CollectionLog-2025.05.07-12.15.zip report1.log report2.log
×
×
  • Создать...