Перейти к содержанию

[РЕШЕНО] Проблема HEUR: Trojan.Win64.Miner.gen не исчезает после полной проверки


Рекомендуемые сообщения

Недавно защитник обнаружил файл, который не может нормально удалить или просканировать, решил скачать Kaspersky Premium.
Провёл несколько быстрых сканов, перезагрузок и полную проверку, но постоянно выдаёт при запуске, что удалённый HEUR:Trojan.Win64.Miner.gen вернулся
Распознаёт, если пытаться вылечить без перезагрузки, как криптоджекинг
Прикрепил отчёт программы

otchet.txt

Ссылка на комментарий
Поделиться на другие сайты

Цитата

Вчера, 22.10.2024 21:52:19    C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646\ScanProdigy.exe    ScanProdigy.exe    C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646    Файл    Не обработано    Объект не обработан    Не обработано    HEUR:Trojan.Win64.Miner.gen    Троянское приложение    Высокая    Эвристический анализ    Host Process for Windows Services    svchost.exe    C:\Windows\SysWOW64\svchost.exe    C:\Windows\SysWOW64    4896    WORKGROUP\DESKTOP-R1PN8DM$    Инициатор    Пропущено

 

Добавьте необходимые логи правилам

«Порядок оформления запроса о помощи».

+

Сделайте образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

Далее,

основное меню - Дополнительно - Твики - выполнить твик 39.

перегрузить систему,

после перезагрузки, еще раз, запускаем start.exe (от имени Администратора) из папки uVS

текущий пользователь.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

добавьте основные логи по правилам.

 

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\ECDA7F\3677E71B86.MSI
delref %SystemRoot%\SYSWOW64\SVCHOST.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMAKCOJOPPODHCGMMCHOHADHPKICOAFKA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DINCOGAKFPFACIKBDIDEGNIAODMALNGNN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 28
regt 29

deltmp
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID]
delref W:\ROMS\PS2\PCSX2 1.2.1\PCSX2-R5875.EXE
delref W:\PLARIUM\PLARIUMPLAY\6.8.0-0.0.0\WIN_10_NOTIFICATION.EXE
delref W:\ROMS\SNES\SNES\SNES9X-X64.EXE
delref %SystemDrive%\USERS\USER\ANACONDA3\PYTHON.EXE
delref %SystemDrive%\USERS\USER\ANACONDA3\CWP.PY
delref %SystemDrive%\USERS\USER\ANACONDA3\SCRIPTS\JUPYTER-NOTEBOOK-SCRIPT.PY
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\HTMLT3.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\HTMLTDB3.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\TADSUINS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TADS 3\UNINST37EE.INF
delref W:\DEATH STRANDING\DEATH STRANDING\DS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MIFLASHPRO\MIFLASH_PRO.EXE
delref %SystemDrive%\GAMES\YAKUZA 0\UNINS000.EXE
delref %SystemDrive%\GAMES\YAKUZA 0\MEDIA\YAKUZA0.EXE
delref %SystemDrive%\PROGRAM FILES\GENSHIN IMPACT\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\CMAPLE.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\MAPLELAUNCHHELP.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\MAPLEW.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\ACTIVATION.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\BIN.X86_64_WINDOWS\WMINT.EXE
delref %SystemDrive%\PROGRAM FILES\MAPLE 2018\UNINSTALL\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHONW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHON.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, после перезагрузки была реакция антивируса на Miner.gen или нет.

+

Сделайте, дополнительно  логи FRST для контроля.

Цитата

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Прикрепляю новые логи!
После всех проделанных действий, запустил быструю проверку, прикрепляю её отчёт.
Однако, фоновая и полная проверка пишут, что объекты не обработаны, но в самом центре уведомлений ничего нет. Возможно, не успели обновить проверку?
image.thumb.png.cb0386073efceb9d96a12f1b3dfc08fc.png
image.thumb.png.0da894986bd0b14d0884352cb50117db.png
 

2024-10-23_17-17-06_log.txt FRST.txt Addition.txt otchet.txt

Ссылка на комментарий
Поделиться на другие сайты

Судя по новому логу сканирования сегодня обнаружения продолжились:

Цитата

Сегодня, 23.10.2024 5:02:38    pmem:\C:\Windows\SysWOW64\svchost.exe    Вылечено    Объект вылечен    MEM:Backdoor.Win32.Insistent.gen        Файл    pmem:\C:\Windows\SysWOW64    svchost.exe    Вылечено    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

лечение по данному обнаружение со стороны антвируса не помогло, обнаружения продолжались.

Цитата

Сегодня, 23.10.2024 5:28:47    pmem:\C:\Windows\SysWOW64\svchost.exe    Обнаружено    Обнаружен вредоносный объект    MEM:Backdoor.Win32.Insistent.gen    Экспертный анализ    Файл    pmem:\C:\Windows\SysWOW64    svchost.exe    Обнаружено    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

а вот последнее обнаружение

Сегодня, 23.10.2024 7:14:23    System Memory    Не обработано    Объект не обработан    MEM:Backdoor.Win32.Insistent.gen    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

 

Логи FRST сейчас проверю.

Ссылка на комментарий
Поделиться на другие сайты

Выполните очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-19\...\RunOnce: [ContentDeliveryAllowed] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager /v ContentDeliveryAllowed /t REG_DWORD /d 0 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [GlobalUserDisabled] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications /v GlobalUserDisabled /t REG_DWORD /d 1 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [ContentDeliveryAllowed] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager /v ContentDeliveryAllowed /t REG_DWORD /d 0 /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [GlobalUserDisabled] => reg add HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications /v GlobalUserDisabled /t REG_DWORD /d 1 /f (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-10-17 11:16 - 2024-10-23 05:13 - 000000000 __SHD C:\ProgramData\ScanProdigy-237e38cb-e1f9-4d49-bc2c-ce73de22d646
2024-10-17 11:15 - 2024-10-17 11:15 - 001301744 _____ C:\WINDOWS\SysWOW64\echo211.dat
Unlock:: C:\Program Files\RDP Wrapper
Unlock:: C:\Program Files (x86)\360
Unlock:: C:\ProgramData\RDP Wrapper
Unlock:: C:\ProgramData\ReaItekHD
Unlock:: C:\ProgramData\Setup
Unlock:: C:\ProgramData\Windows Tasks Service
Unlock:: C:\ProgramData\WindowsTask
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\Setup
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-10-16 23:10 - 2024-10-16 23:10 - 000000000 _RSHD C:\Program Files (x86)\360
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [5162]
AlternateDataStreams: C:\ProgramData\merjmevq.cmt:65433143E6 [5162]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [5162]
AlternateDataStreams: C:\ProgramData\sldh.dat:136096DD5B [5162]
AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat.lnk:1FA7E99ECA [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2019.lnk:6569B2479D [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firmware updater for DualSense™ wireless controller.lnk:984BC2B727 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky.lnk:C47623E859 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Newgrounds Player.lnk:61530B8D4C [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [5162]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sublime Merge.lnk:1DA94F4472 [5162]
AlternateDataStreams: C:\Users\User\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\User\AppData\Local\Microsoft:ISBD [66]
AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

Сделайте еще раз:

Образ автозапуска в uVS

и новый отчет со сканированием в антивирусе Касперского.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Прикрепляю необходимые логи и отчёт быстрой проверки.
Выполнил все действия повторно, так как увидел сообщение перед отправкой.
 

otchet2.txt Fixlog.txt DESKTOP-R1PN8DM_2024-10-23_18-42-50_v4.99.2v x64.7z

Ссылка на комментарий
Поделиться на другие сайты

Судя по новой проверке Касперского обнаружений в памяти нет, но есть реакция на эти модули.

 

Цитата

Сегодня, 23.10.2024 17:25:03    C:\dis_fix\bin\WinDivert64.sys    Обнаружено    Информация об обнаруженном объекте    not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen    Экспертный анализ    Файл    C:\dis_fix\bin    WinDivert64.sys    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь
Сегодня, 23.10.2024 18:35:16    C:\dis_fix\bin\WinDivert64.sys    Обнаружено    Информация об обнаруженном объекте    not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen    Экспертный анализ    Файл    C:\dis_fix\bin    WinDivert64.sys    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь
Сегодня, 23.10.2024 18:44:15    C:\dis_fix\bin\WinDivert64.sys    Обнаружено    Информация об обнаруженном объекте    not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen    Экспертный анализ    Файл    C:\dis_fix\bin    WinDivert64.sys    Обнаружено    Легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя    Низкая    Точно    DESKTOP-R1PN8DM\User    Активный пользователь

 

Есть реакция и других антивирусов на файлы из каталога dis_fix

 


 

Цитата

 

Полное имя                  C:\DIS_FIX\BIN\WINWS.EXE
Имя файла                   WINWS.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске Фильтр
                            
Lionic                      Trojan.Win32.Generic.4!c
MicroWorld-eScan            Trojan.GenericKD.74326620
McAfee                      Artemis!8C624E64742B
Malwarebytes                Generic.Malware/Suspicious
VIPRE                       Trojan.GenericKD.74326620
Sangfor                     Trojan.Win32.Agent.V8t8
BitDefender                 Trojan.GenericKD.74326620
VirIT                       Trojan.Win64.Agent.FYL
GData                       Trojan.GenericKD.74326620
McAfeeD                     ti!13FD7A9C6F7C
CTX                         exe.trojan.generic
FireEye                     Trojan.GenericKD.74326620
Varist                      W64/ABTrojan.QFMB-3867
Antiy-AVL                   Trojan/Win32.Agent
Gridinsoft                  Malware.Win64.Gen.ca
Arcabit                     Trojan.Generic.D46E225C
AhnLab-V3                   Trojan/Win.Generic.R672938
ALYac                       Trojan.GenericKD.74326620
MaxSecure                   Trojan.Malware.284651105.susgen
Fortinet                    W32/PossibleThreat
alibabacloud                Suspicious
www.virustotal.com          2024-10-23 15:27 [2024-09-22]
                            
Ссылки на объект            
Ссылка                      HKLM\SYSTEM\ControlSet001\Services\zapret\ImagePath
ImagePath                   C:\dis_fix\bin\winws.exe --wf-tcp=80,443 --wf-udp=443,50000-65535 --filter-udp=443 --hostlist="C:\dis_fix\list-general.txt" --dpi-desync=fake --dpi-desync-udplen-increment=10 --dpi-desync-repeats=6 --dpi-desync-udplen-pattern=0xDEADBEEF --dpi-desync-fake-quic="C:\dis_fix\bin\quic_initial_www_google_com.bin" --new --filter-udp=50000-65535 --dpi-desync=fake,tamper --dpi-desync-any-protocol --dpi-desync-fake-quic="C:\dis_fix\bin\quic_initial_www_google_com.bin" --new --filter-tcp=80 --hostlist="C:\dis_fix\list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new --filter-tcp=443 --hostlist="C:\dis_fix\list-general.txt" --dpi-desync=fake,split2 --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls="C:\dis_fix\bin\tls_clienthello_www_google_com.bin"
DisplayName                 zapret DPI bypass : winws1
Description                 zapret DPI bypass software
zapret                      тип запуска: Авто (2)
Изменен                     10.10.2024 в 07:20:12
                            
 

 

 

 

 

Чистим?

Или вы используете его для серфинга в сети Интернет?

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Полное имя                  C:\DIS_FIX\BIN\WINDIVERT64.SYS

Цитата

Имя файла                   WINDIVERT64.SYS
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске
                            
Elastic                     Windows.VulnDriver.WinDivert
Kaspersky                   not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen
www.virustotal.com          2024-10-23 14:40 [2022-09-21]
                            
Ссылки на объект            
Ссылка                      HKLM\SYSTEM\ControlSet001\Services\WinDivert\ImagePath
ImagePath                   \??\C:\dis_fix\bin\WinDivert64.sys
DisplayName                 WinDivert
WinDivert                   тип запуска: Отключено (4)
Изменен                     23.10.2024 в 18:42:01


                            

 

Что еще можно сделать: можно очистить отчеты Касперского и понаблюдать за детектами еще некоторое время.

Потом примем  решение: чистить или нет, если вы используете полезные функции данного софта.

Ссылка на комментарий
Поделиться на другие сайты

Это известная мне программа/утилита, необходимая для работы, с ней всё в порядке, думаю, в ближайшей полной проверке добавлю её в список для игнорирования.
Если всё остальное исправлено, то безмерно благодарен!

Ссылка на комментарий
Поделиться на другие сайты

Хорошо, ждем результаты новой полной проверки

+

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Извиняюсь за задержку, полная проверка заняла куда больше времени. Прикрепляю файлы.
После проверки осталось обработать несколько файлов, как раз этим и занимаюсь попутно, но с ними особых проблем не возникало и думаю, что сам антивирус с ними разобраться должен.
Файл полной проверки оказался слишком громоздким, поэтому разделил его на несколько частей (otchet#.txt)
 

SecurityCheck.txt otchet3.txt otchet4.txt

otchet5.txt

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Ольга Кот
      Автор Ольга Кот
      Здравствуйте!
      Антивирус выявил вредоносные приложения (скрин прилагаю). Trojan и MEM:Backdoor.Win32.Insistent.gen.  Всегда ссылается на файл svchost.exe и еще может подтянуть другие. "Лечение с перезагрузкой" не помогает, пробовали руками удалять папки, но после перезагрузки все восстанавливается. Скорее всего подцепили эту заразу в 24.06 - 27.06, ноутбук периодически стал шуметь в спящем режиме и греться, майнингом не занимаемся. Просим оказать содействие в решении этих проблем. Скачала сразу программу для логов, прилагаю файл.

      CollectionLog-2025.07.01-15.08.zip
    • Shytnik
      Автор Shytnik
      Здравствуйте. В один момент перестало работать всё с ошибкой «Отказано в доступе». «Касперский» нашел этот вирус и вроде как успешно вылечил с перезагрузкой.
       
      После удаления автоматически запустилась проверка, которая по непонятным причинам сама по себе приостанавливалась три раза. Также по какой-то причине переставали грузиться на некоторое время сайты. Посчитал, что это какое-то подозрительное поведение, и отключил на всякий случай интернет. «Касперский» завершил сканирование и удалил еще кучу скриптов из папки браузера.
       
      В интернете нашел страницу на «Ответах» Mail.ru, где человек писал, что этот вирус после удаления «Касперским» «воскресает». Немного беспокоит эта перспектива, т. к. переустанавливать Windows не хочется. Можно как-то проверить, осталась ли эта гадость в системе?
      CollectionLog-2025.07.04-16.29.zip
    • Ян Том
      Автор Ян Том
      Добрый день!
      Компьютер словил HEUR:Trojan.Win32.Miner.gen HEUR:Trojan.Multi.Runner.t. 
      Прогнал CureIt, и KVR, а также AutoLogger.
       
      Спасибо!
      CollectionLog-2025.04.09-21.33.zip
    • Eugene_Konovalov
      Автор Eugene_Konovalov
      Добрый день, уважаемые эксперты.
      К сожалению для себя, поймал вчера очень крепкий майнер taskhostw.exe, который, судя по всему, совсем недавно обновили, потому что у меня никак не получается его искоренить, далее по порядку:
      1. С самого же начала установил на загрузочную флешку с офф сайта свежий kaspersky rescue disk с помощью безопасного режима с сетью (т.к. вирус, как вы и сами знаете, не дает что-либо скачать и загуглить), прогнал систему через него (6 часов шла проверка), нашел около 40 файлов (10 из которых не вирус, но не важно), потом еще раз там же прогнал уже через расширенный поиск, также удалил некоторое количество файлов этого майнера, после чего зашел в систему (все также в безопасном режиме), почистил реестр в двух папках run, перезашел в систему уже без безопасного режима, но снова открылась консоль, снова он себя докачал и снова начал издеваться над моими системой и железом
      2. После данной неудачной попытки, я установил curelt (опять же, из безопасного режима), прогнал его и снова обнаружил 6 угроз, вылечил их, после чего также прогнал систему через av block remover, она автоматом перезапустилась и даже через безопасный режим вновь создала мне автозакрытие браузеров в регистре в папке run (то есть, и этот способ не помог)... уже максимально отчаявшись я сделал все необходимые логи (Curelt, DrWeb-Sysinfo, av block remover logs, а также логи из FRST64, все это я загрузил на гугл диск для удобства: https://drive.google.com/drive/folders/1vlDNd2tWZxOUIlr24QwFEnKORR9XTBzl?usp=sharing, autologger же приложил к самой теме), после чего создал эту тему
      Очень надеюсь на вашу помощь!
      PS систему мне сносить никак нельзя, у меня в ней очень много важных рабочих файлов и документов весом в более около двух терабайт, так что я их даже на внешний диск перенести не могу)
      CollectionLog-2025.05.07-12.15.zip report1.log report2.log
    • para87
      Автор para87
      Я заметил что  включаешь комп играешь работаешь  ну и т.д и после там часа или 2 не помню точно не могу открыть Kaspersky Plus нажимаю на иконку где часы и не чего не происходит тоже самое и на ярлык тоже не хочет открываться.  Помогает перезагрузка пк сразу открывается работает нормально. Я удалил Каспера утилитой  kavremover и заново поставил обновил провел полную проверку не чего не нашёл.  Пока все хорошо.  Просканировал еще FRST64 вот лог. Посмотрите может я зря беспокоюсь и это все ерунда.
      CollectionLog-2025.02.21-16.59.zip Addition.txt FRST.txt
×
×
  • Создать...