HEUR:Trojan.Multi.Runner.t HEUR:Trojan.Win32.Miner.gen

[Ян Том]

Добрый день!

Компьютер словил HEUR:Trojan.Win32.Miner.gen HEUR:Trojan.Multi.Runner.t. 

Прогнал CureIt, и KVR, а также AutoLogger.

 

Спасибо!

CollectionLog-2025.04.09-21.33.zip

[Sandor]

Здравствуйте!

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Ян Том]

отчеты FRST.txt и Addition.txt

Addition.txt FRST.txt

[Sandor]

Лог FRST.txt получился неполный. Переделайте, пожалуйста.

 

А также прикрепите отчёты обнаружений KES, CureIt и KVRT.

Сейчас после прогона всеми утилитами что-либо находит?

[Ян Том]

Прошу прощения, скидываю полные файлы.

Проверка CureIt и KVRT была с liveCD, запустил .exe позже скину логи.

Addition_10-04-2025 10.22.34.txt FRST_10-04-2025 10.13.21.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  Task: {0AAEFEE0-F16F-4071-8E67-87F73EDFCDC6} - \Microsoft\Windows\MemoryDiagnostic\RunFullMemoryDiagnostic -> Нет файла <==== ВНИМАНИЕ
  Task: {3C2DBBB7-808A-40BC-9808-4BF913E38F18} - \Microsoft\Windows\MemoryDiagnostic\ProcessMemoryDiagnosticEvents -> Нет файла <==== ВНИМАНИЕ
  Task: {6EA4153A-31EA-4CCB-B3B5-6A8CBF9421C7} - \Optimize Start Menu Cache Files-S-1-5-21-3441480893-495274380-337113391-500 -> Нет файла <==== ВНИМАНИЕ
  Task: {83DDA62F-49A9-4E4B-AE8A-DBD4859118D0} - \WPD\SqmUpload_S-1-5-21-3441480893-495274380-337113391-500 -> Нет файла <==== ВНИМАНИЕ
  Task: {9EC6517C-2DA6-4703-AD56-8BA0FA87AC11} - \WPD\SqmUpload_S-1-5-21-2436868982-3069311090-735360575-500 -> Нет файла <==== ВНИМАНИЕ
  C:\Users\Администратор.CSDN\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf
  FirewallRules: [{FB85D92A-1EA6-448E-9B23-F6F87BC3C91E}] => (Allow) LPort=6602
  FirewallRules: [{70B09FBD-669D-4919-B9B9-B2E10DD9CB5E}] => (Allow) LPort=8912
  FirewallRules: [{67E2BD23-4704-4507-940E-4F205EF99110}] => (Allow) LPort=8912
  FirewallRules: [{6DE7B20B-D003-4A0D-AC9D-93BBB33D0F97}] => (Allow) LPort=65520
  FirewallRules: [{C29D2AAF-FD9D-4CB7-B0CD-79B163B64CE2}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe => Нет файла
  FirewallRules: [{D761A6AC-D33B-4690-8B74-9070EE5268FB}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe => Нет файла
  FirewallRules: [{48791786-9D50-4D87-9D9E-5A3B6E14ACD8}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe => Нет файла
  FirewallRules: [{079E88D9-EC2C-4CA0-88E8-53F3D1A5C0DA}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe => Нет файла
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер следует перезагрузить вручную.

Подробнее читайте в этом руководстве.

 

Если перечисленные порты файервола открывали самостоятельно, уберите эти четыре строки из скрипта.

[Ян Том]

Спасибо за скрипт.

 

Прикрепляю файлы логов KVRT и KES. Проверки производились ДО запуска вашего скрипта. Лог CureIt весит больше 5 мб.

 

Также прикрепляю Fixlog.txt ПОСЛЕ выполнения скрипта

report_2025.04.10_11.57.22.klr.rar kesLog.txt Fixlog.txt

[Sandor]

Судя по отчёту KVRT, все найденные угрозы были успешно удалены.

Сейчас наличие майнера как-то внешне проявляется?