Перейти к содержанию
Правила раздела

[РЕШЕНО] HEUR:Trojan.Multi.Runner.t HEUR:Trojan.Win32.Miner.gen

Ян Том

Автор Ян Том
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Лог FRST.txt получился неполный. Переделайте, пожалуйста.

 

А также прикрепите отчёты обнаружений KES, CureIt и KVRT.

Сейчас после прогона всеми утилитами что-либо находит?

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
Task: {0AAEFEE0-F16F-4071-8E67-87F73EDFCDC6} - \Microsoft\Windows\MemoryDiagnostic\RunFullMemoryDiagnostic -> Нет файла <==== ВНИМАНИЕ
Task: {3C2DBBB7-808A-40BC-9808-4BF913E38F18} - \Microsoft\Windows\MemoryDiagnostic\ProcessMemoryDiagnosticEvents -> Нет файла <==== ВНИМАНИЕ
Task: {6EA4153A-31EA-4CCB-B3B5-6A8CBF9421C7} - \Optimize Start Menu Cache Files-S-1-5-21-3441480893-495274380-337113391-500 -> Нет файла <==== ВНИМАНИЕ
Task: {83DDA62F-49A9-4E4B-AE8A-DBD4859118D0} - \WPD\SqmUpload_S-1-5-21-3441480893-495274380-337113391-500 -> Нет файла <==== ВНИМАНИЕ
Task: {9EC6517C-2DA6-4703-AD56-8BA0FA87AC11} - \WPD\SqmUpload_S-1-5-21-2436868982-3069311090-735360575-500 -> Нет файла <==== ВНИМАНИЕ
C:\Users\Администратор.CSDN\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf
FirewallRules: [{FB85D92A-1EA6-448E-9B23-F6F87BC3C91E}] => (Allow) LPort=6602
FirewallRules: [{70B09FBD-669D-4919-B9B9-B2E10DD9CB5E}] => (Allow) LPort=8912
FirewallRules: [{67E2BD23-4704-4507-940E-4F205EF99110}] => (Allow) LPort=8912
FirewallRules: [{6DE7B20B-D003-4A0D-AC9D-93BBB33D0F97}] => (Allow) LPort=65520
FirewallRules: [{C29D2AAF-FD9D-4CB7-B0CD-79B163B64CE2}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe => Нет файла
FirewallRules: [{D761A6AC-D33B-4690-8B74-9070EE5268FB}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe => Нет файла
FirewallRules: [{48791786-9D50-4D87-9D9E-5A3B6E14ACD8}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe => Нет файла
FirewallRules: [{079E88D9-EC2C-4CA0-88E8-53F3D1A5C0DA}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe => Нет файла
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер следует перезагрузить вручную.

Подробнее читайте в этом руководстве.

 

Если перечисленные порты файервола открывали самостоятельно, уберите эти четыре строки из скрипта.

Ян Том

Ян Том

Опубликовано
  • Автор
Опубликовано

Спасибо за скрипт.

 

Прикрепляю файлы логов KVRT и KES. Проверки производились ДО запуска вашего скрипта. Лог CureIt весит больше 5 мб.

 

Также прикрепляю Fixlog.txt ПОСЛЕ выполнения скрипта

report_2025.04.10_11.57.22.klr.rar kesLog.txt Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Судя по отчёту KVRT, все найденные угрозы были успешно удалены.

Сейчас наличие майнера как-то внешне проявляется?

Sandor

Sandor

Опубликовано
Опубликовано
3 минуты назад, Ян Том сказал:

KVRT нашел два подозрительных файла

А вам известен этот файл? (hfs.exe)

Ян Том

Ян Том

Опубликовано
  • Автор
Опубликовано

Да, известен.

Получается, проблема решена.

Спасибо вам большое!

Sandor

Sandor

Опубликовано
Опубликовано

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

Расширенная поддержка закончилась 10.01.2023, Ваша операционная система может быть уязвима к новым типам угроз
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен контроль учетных записей (UAC)?

 

Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Kaspersky Endpoint Security для Windows v.12.7.0.533 Внимание! Скачать обновления
Microsoft SQL Server 2012 Management Objects  (x64) v.11.4.7001.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Express LocalDB  v.11.4.7001.0 Данная программа больше не поддерживается разработчиком.
AnyDesk v.ad 6.3.2 Внимание! Скачать обновления
FileZilla Client 3.49.1 v.3.49.1 Внимание! Скачать обновления
TeamViewer 11 v.11.0.259193 Внимание! Скачать обновления
WinSCP 5.17.7 v.5.17.7 Внимание! Скачать обновления
Veeam Agent for Microsoft Windows v.4.0.1.2169 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком. Удалите старую версию, скачайте и установите новую.
Far Manager 3 x64 v.3.0.3525 Внимание! Скачать обновления
TreeSize Free V4.4.2 v.4.4.2 Внимание! Скачать обновления
TightVNC v.2.8.63.0 Внимание! Программа удаленного доступа!
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-x64.exe - Windows Offline (64-bit))^
Adobe Acrobat Reader DC - Russian v.17.009.20044 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Update Helper v.1.3.25.11 Данная программа больше не поддерживается разработчиком.
 

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.34 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Security Task Manager 2.4 v.2.4 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

Дополнительные сканирования не нужны, просто удалите нежелательные программы.

 

Читайте Рекомендации после удаления вредоносного ПО

  • 2 недели спустя...
Sandor

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ольга Кот
      [РЕШЕНО] Trojan.Win64.Miner.gen, MEM:Backdoor.Win32.Insistent.gen
      Автор Ольга Кот
      Здравствуйте!
      Антивирус выявил вредоносные приложения (скрин прилагаю). Trojan и MEM:Backdoor.Win32.Insistent.gen.  Всегда ссылается на файл svchost.exe и еще может подтянуть другие. "Лечение с перезагрузкой" не помогает, пробовали руками удалять папки, но после перезагрузки все восстанавливается. Скорее всего подцепили эту заразу в 24.06 - 27.06, ноутбук периодически стал шуметь в спящем режиме и греться, майнингом не занимаемся. Просим оказать содействие в решении этих проблем. Скачала сразу программу для логов, прилагаю файл.

      CollectionLog-2025.07.01-15.08.zip
    • Kir_new
      Не удаляются вирусы. UDS:DangerousObject.Multi.Generic и HEUR:Trojan.Win64.Miner.gen.
      Автор Kir_new
      Изначально было, что компьютер всё себя странно, в том плане, что не открывались некоторые программы (например "Ножницы" или "Редактор реестра"). После проверки KVRT было найдено 13 вирусов (сколько-то из них потенциальных). После очистки заработало всё нормально. Но при повторной проверке всё равно находятся UDS:DangerousObject.Multi.Generic и HEUR:Trojan.Win64.Miner.gen. При этом они просто помещаются в каратин. После этого какое-то время после этого антивирус их не находит. Но затем они появляются снова (удаляешь их из карантина или нет).
      Так же иногда находятся Trojan.Win64(32)Autoit.acpju и Trojan.Win64(32)AutoIt.fpl. В скобках написал, потому что точно не помню, так как они даже не добавились в карантин в последний раз.

    • Yann
      [РЕШЕНО] Проблема не решилась.
      Автор Yann
      И снова здраствуйте.
      Недавно обращался по поводу вируса который пережил снос винды и форматирование, казалось что проблема была решена, но как оказалось не полностью.
      Сегодня при скачке экзешника мод менеджера с официального сайта снова был детект антивирусом, тоже самое что было при скачивании экзешника браузера из прошлой темы.
      Пробовал скачивать с других устройств, по той же ссылке и проблем не возникало, другие люди по моей просьбе повторяли это действие и тоже без проблем, так что это очевидно не проблема ресурса с которого скачивалось.
      Такое ощущение что он пытается подделывать здоровые исполнительные файлы на лету, как только они попадают на пк.
      Ради интереса сделал несколько попыток скачать надеясь увидеть в журнале карантина что нибудь полезное.
      Судя по всему маскируется под временные файлы системы, доктор веб определяет его как trojan.siggen31.50695, при этом ни CureIt ни KVRT ничего не находят при скане.
      С системой пока что никаких проблем нету, не излишних нагрузок, не просадок стабильности, но очевидно что там что то осталось.
      Прошу помощи добить эту заразу!
      Прикладываю новые логи и скрин из журнала карантина:
       
      CollectionLog-2025.08.26-18.15.zip
    • DrRybkin
      [РЕШЕНО] Поймал Trojan.Packed2.49814
      Автор DrRybkin
      Всем добрый день. Начал замечать, что у меня застывает картинка в браузере и проблема со странной активностью системы.
      Прогнал систему через Cureit, обнаружил вирус-файл caaservices.exe, определен как Trojan.Packed2.49814.
      Cureit переместил в карантин.
      Прогнал сбор логов через FRST64 со стандартными установками после проверки Сurieit. Прикрепляю.
      Помогите избавиться от вируса, пожалуйста.
      FRST.txt Addition.txt
    • Anton3456
      [РЕШЕНО] появился вирус
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
×
×
  • Создать...