Майнер в Kaspersky

[Полислава]

Здравствуйте! 30 марта 2025 на ноутбук была совершена вирусная атака.
Я успела в диспетчере отследить три процесса, которые затем исчезли. У меня был Kaspersky Total Security и он поймал вирус и решил с ним справиться. Но, к сожалению, вирус его благополучно поломал..
Сильно грузит систему, я выследила, откуда майнер - он спрятался в png файлах папки WindowsApps/KasperskyShellEx20
Папка не удаляется никак, пыталась и изменять владельца и при помощи Revo Uninstaller - не получается.
Сделала в FarBar Recover SearchAll: Kaspersky и вот что обнаружено. Учитывая, что официальная утилита на удаление антивируса - ничего из этого не видит.

 

Search.txt

Так же прикрепляю результаты сканирования FarBar

FRST.txt

Изменено 4 апреля пользователем Полислава

[Полислава]

CollectionLog-2025.04.04-14.45.zip

[safety]

+

сделайте дополнительно образ автозапуска:

 

Создайте в uVS дополнительно образ автозапуска.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Изменено 4 апреля пользователем safety

[Полислава]

DESKTOP-8QQQ20T_2025-04-04_14-54-07_v4.99.12v x64.7z

[safety]

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\1\DESKTOP\[ПРОГРАММЫ]\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\BHO\IE_TO_EDGE_BHO_64.DLL
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\4ZLU14IQ.DEFAULT-RELEASE\EXTENSIONS\HELPER@SAVEFROM.NET.XPI
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\1\DESKTOP\TRON\RESOURCES\STAGE_1_TEMPCLEAN\CCLEANER\X64\CCLEANERBUGREPORT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\PDFPREVIEW\PDFPREVIEWHANDLER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\DRIVERS\CDD.DLL
delref SOPHOSVIRUSREMOVALTOOL\[SERVICE]
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\PROCEXP64.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\ESET\ESETONLINESCANNER\ESETONLINESCANNER.EXE
;-------------------------------------------------------------

restart

После завершения работы uVS::

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Добавьте новые логи FRST(FRST.txt и Addition.txt) для контроля очистки.

[Полислава]

uVS

 

2025-04-04_15-39-54_log.txt

FarBar

Addition.txt Fixlog.txt

Изменено 4 апреля пользователем Полислава

[safety]

Fixlog откуда у вас?

Скрипта для FRST еще не было. Нужен новый файл FRST.txt

[Полислава]

К сожалению, проблема в заражённом Kaspersky( файлы ни в какую не удаляются, через Powershell пишет - "отказано в доступе"). Как удалить полностью все файлы, указаные в списке FarBar?

Search.txt

Прошу прощения, перепутала файлы. Вот.

FRST.txt

[safety]

Посмотрим позже.

Пока нужны полные логи FRST (Addition.txt и FRST.txt).

Сделать их надо после очистки системы в uVS.

[Полислава]

Выполнены после очистки uVS после перезагрузки ноутбука.

Addition.txt FRST.txt

 

Даже в логах прописан в Центре Безопасности Kaspersky, который утилита по удалению антивируса не видит - пишет, что продуктов нет.

[safety]

Файлов от Касперского нет в образе автозапуска, и в логе FRST, кроме записи в Центре безопасности.

Цитата

AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}

Нечего уже удалять для kavremover.

 

продолжаем очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AlternateDataStreams: C:\Users\1\Downloads\anvirrus.exe:RVContext [122]
AlternateDataStreams: C:\Users\1\Downloads\HiJackThis_test.zip:RVContext [122]
AlternateDataStreams: C:\Users\1\Downloads\ProcessExplorer.zip:RVContext [122]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

+

 

Можно ли очистить папку recent?
Нажмите комбинацию клавиш Win + R. Далее в строке пишем запрос Recent и нажимаем Enter. В открывшемся экране вы увидите всю историю действий на ноутбуке; Нажимаем далее CTRL + A и удаляем.

Изменено 4 апреля пользователем safety

[Полислава]

Fixlog.txt

[safety]

Скопировать можете данный файл в каталог TEMP например?

2025-03-30 02:07 - 2025-04-04 04:13 _____ C:\Program Files\WindowsApps\Kaspersky.ShellEx20_1.0.0.9_x64__b81m8cbssw9gt

в темпе добавить в архив с паролем virus, архив загрузить на облачный диск и дать ссылку на скачивание здесь.