.heur: trojan.win64.miner.gen [РЕШЕНО] Помогите пожалуйста с удалением вируса MEM:Backdoor.Win32.Insistent.gen и HEUR: Trojan.Win64.Miner.gen

[Александр_38]

DESKTOP-0MLA7HG_2024-11-02_21-02-48_v4.99.2v x64.7z

 

Никак не могу справиться с данной проблемой, пытался прочитать на ваших форумах, но не совсем понял.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[safety]

Выполните очистку системы в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\CSAMSP.DLL
zoo %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\PROGRAMS\8836F7300BAC3A\58032607E2.MSI
;------------------------autoscript---------------------------

delall %SystemRoot%\SYSWOW64\CSAMSP.DLL
delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\PROGRAMS\8836F7300BAC3A\58032607E2.MSI
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.21_0\SAVEFROM.NET ПОМОЩНИК
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMEBOCPJLLBFKGBLOLJNBEGHAAEDCJOPD%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
deltmp
delref %SystemDrive%\PROGRAMDATA\OCCUPY-REMEMBRANCE\BIN.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\MBAEPARSERTASK.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {C885AA15-1764-4293-B82A-0586ADD46B35}\[CLSID]
;-------------------------------------------------------------

czoo
restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Архив ZOO_дата_Время.7z и папки, откуда запускали uVS загрузите на облачный диск, и дайте ссылку на скачивание архива в ЛС (личные сообщения)

+

Далее, выполняем все логи про правилам:

 

Цитата

Порядок оформления запроса о помощи

+

добавьте логи FRST

 

Изменено 2 ноября, 2024 пользователем safety

[Александр_38]

Написал вам в личные сообщения

 

 

 

1 час назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

А что я сделал не правильно?

 

Изменено 2 ноября, 2024 пользователем Александр_38

[safety]

5 минут назад, Александр_38 сказал:

А что я сделал не правильно?

лог Autologger  нужен согласно п.2 правил.

[Александр_38]

FRST (1).txt2024-11-02_21-35-59_log.txtAddition (1).txt

8 минут назад, safety сказал:

лог Autologger  нужен согласно п.2 правил.

Не совсем понимаю, что нужно было сделать, он у меня не верный какой то?

 

[safety]

смотрим п.2 правил оформления запроса о помощи в данном разделе.

 

Цитата

2. Скачайте актуальную версию автоматического сборщика логов, необходимого для анализа ОС и распакуйте полученный архив в любую удобную для Вас папку. Обязательно выгрузите защитное ПО (антивирус, фаерволл, брандмауэр) во избежание конфликтов при работе утилит автоматического сборщика логов, т.к. иначе возможно значительное снижение производительности ОС, её зависание и/или отказ (появление BSOD, т. е. синего экрана смерти). Запустите файл AutoLogger.exe и следуйте выводимым рекомендациям. Дождитесь окончания работы автоматического сборщика логов. В папке AutoLogger, расположенной там же, куда Вы ранее распаковали архив, будет находиться zip-архив с собранными логами - CollectionLog-yyyy.mm.dd-hh.mm.zip, где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2014.07.14-21.04.zip. Если у вас возникнут вопросы/проблемы связанные с AutoLogger-ом, то прочитайте FAQ.

При недоступности Safezone.сс используйте зеркало для скачивания автоматического сборщика логов. (Второе зеркало временно).

Образ автозапуска в uVS запрашивается как дополнительный лог по запросу Консультантов.  Если необходим.

 

По скрипту очистке в uVS. Все прошло успешно, проверяю логи дальше.

Цитата

C:\WINDOWS\SYSWOW64\CSAMSP.DLL будет удален после перезагрузки
--------------------------------------------------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 6 из 6

 

Изменено 2 ноября, 2024 пользователем safety

[Александр_38]

9 минут назад, safety сказал:

лог Autologger  нужен согласно п.2 правил.

 

2 минуты назад, safety сказал:

смотрим п.2 правил оформления запроса о помощи в данном разделе.

 

Образ автозапуска в uVS запрашивается как дополнительный лог по запросу Консультантов.  Если необходим.

По скрипту очистке в uVS. Все прошло успешно, проверяю логи дальше.

Я его сразу приложилDESKTOP-0MLA7HG_2024-11-02_21-02-48_v4.99.2v x64.7z

[thyrex]

Вам во втором сообщении темы, а потом и еще раз, дали ссылку на правила раздела. Их (правила) нужно выполнять до создания темы, а все дополнительные логи (uVs, Farbar и т.п.) запрашиваются при лечении дополнительно по мере необходимости.

[safety]

50 минут назад, Александр_38 сказал:

Я его сразу приложилDESKTOP-0MLA7HG_2024-11-02_21-02-48_v4.9

Я сделал исключение в данном случае,

потому что по правилам форума а первом сообщении необходимы, указанные в п2 правил. И на этом все.

Идем дальше.

 

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

 

Start::
"C:\Users\8523~1\AppData\Local\Temp\{c3f2d119-a549-4305-8048-7c565188140d}\38beef57-9c5d-4a61-bc2f-741339894010.cmd" (Нет файла) <==== ВНИМАНИЕ
Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc [2024-10-12] [UpdateUrl:hxxps://clients54.google.com/service/update2/crx] <==== ВНИМАНИЕ
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge DefaultSearchKeyword: Default -> x-finder.pro
Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
Edge Extension: (X-finder.pro) - C:\Users\Александр\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2024-08-19]
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
[2024-10-12] [UpdateUrl:hxxps://clients71.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (X-finder.pro) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2024-08-19]
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
YAN Extension: (Find-it.Pro Search) - C:\Users\Александр\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne [2024-08-19]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2024-10-28 14:43 - 2024-11-02 20:52 - 000000000 __SHD C:\ProgramData\PlanCommander-56a7baf0-c45b-4d02-8463-0185a01eeee7
2024-10-28 14:43 - 2024-10-28 14:43 - 001180014 _____ C:\WINDOWS\SysWOW64\dump043.dat
2024-10-27 12:08 - 2024-10-27 12:08 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-10-27 12:08 - 2024-10-27 12:08 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-10-27 12:08 - 2024-10-27 12:08 - 000000000 _RSHD C:\ProgramData\Setup
2024-10-27 12:08 - 2024-10-27 12:08 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-10-27 12:08 - 2024-10-27 12:08 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2024-10-27 12:08 - 2024-10-27 12:08 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-10-27 12:08 - 2024-10-27 12:08 - 000000000 _RSHD C:\Program Files (x86)\360
2024-10-12 23:27 - 2024-10-31 23:21 - 000000000 ____D C:\Program Files (x86)\qNnJCnLYFFUn
2024-10-12 23:27 - 2024-10-31 22:55 - 000000000 ____D C:\ProgramData\IcUwuQrfZAWVMiVB
2024-10-12 23:27 - 2024-10-31 22:55 - 000000000 ____D C:\Program Files (x86)\yIBIOxTbpZDU2
2024-10-12 23:27 - 2024-10-31 22:55 - 000000000 ____D C:\Program Files (x86)\xmSMOgbuHLYAC
2024-10-12 23:27 - 2024-10-31 22:55 - 000000000 ____D C:\Program Files (x86)\WZZNUPcnflrndtCngkR
2024-10-12 23:27 - 2024-10-31 22:55 - 000000000 ____D C:\Program Files (x86)\GHrNbnxkU
Unlock:: C:\Program Files\RDP Wrapper
Unlock:: C:\Program Files (x86)\360
Unlock:: C:\ProgramData\RDP Wrapper
Unlock:: C:\ProgramData\ReaItekHD
Unlock:: C:\ProgramData\Setup
Unlock:: C:\ProgramData\Windows Tasks Service
Unlock:: C:\ProgramData\WindowsTask
Reboot::
End::

Далее,

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку в ЛС.

Изменено 2 ноября, 2024 пользователем safety

[Александр_38]

  

Fixlog.txt

Изменено 2 ноября, 2024 пользователем Александр_38

[safety]

Выполните скрипт очистки в uVS (Не перепутайте с  FRST :))

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPICLHKKBGABHAPKLNGKPAHNAAFKGPNE\2.0.0.6_0\FIND-IT.PRO SEARCH
apply

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Сделайте новые логи FRST для контроля.

[Александр_38]

11 минут назад, safety сказал:

Выполните скрипт очистки в uVS (Не перепутайте с  FRST :))

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPICLHKKBGABHAPKLNGKPAHNAAFKGPNE\2.0.0.6_0\FIND-IT.PRO SEARCH
apply

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Сделайте новые логи FRST для контроля.

 

FRST.txt Addition.txt 2024-11-02_23-26-39_log.txt

[safety]

Выполняем очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
C:\Users\Александр\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
C:\Users\Александр\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc
C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
AlternateDataStreams: C:\Users\Александр\Application Data:00e481b5e22dbe1f649fcddd505d3eb7
AlternateDataStreams: C:\Users\Александр\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7
FirewallRules: [{710F3295-2185-40B1-8A83-B74834607EE8}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮瑜捯䡜䱤佷攮數 => Нет файла
FirewallRules: [{F780BAB1-3DF5-4873-A959-AFAC5D0DF4C0}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{F3F8DC64-C11E-4BE1-B172-E2B0F8ED74CA}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{ED148142-C611-417A-9CC1-5CEFB78A2F96}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮瑜捯瑜䑣⹳硥e => Нет файла
End::

Далее,

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 2 ноября, 2024 пользователем safety

[Александр_38]

5 минут назад, safety сказал:

Выполняем очистку в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
C:\Users\Александр\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
AlternateDataStreams: C:\Users\Александр\Application Data:00e481b5e22dbe1f649fcddd505d3eb7
AlternateDataStreams: C:\Users\Александр\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7
FirewallRules: [{710F3295-2185-40B1-8A83-B74834607EE8}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮瑜捯䡜䱤佷攮數 => Нет файла
FirewallRules: [{F780BAB1-3DF5-4873-A959-AFAC5D0DF4C0}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{F3F8DC64-C11E-4BE1-B172-E2B0F8ED74CA}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{ED148142-C611-417A-9CC1-5CEFB78A2F96}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮瑜捯瑜䑣⹳硥e => Нет файла
End::

Далее,

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

"Исправление завершено"

Но перезагрузку не запустил