[РЕШЕНО] HEUR:Trojan.Multi.Runner.t HEUR:Trojan.Win32.Miner.gen

[Ян Том]

Добрый день!

Компьютер словил HEUR:Trojan.Win32.Miner.gen HEUR:Trojan.Multi.Runner.t. 

Прогнал CureIt, и KVR, а также AutoLogger.

 

Спасибо!

CollectionLog-2025.04.09-21.33.zip

[Sandor]

Здравствуйте!

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Ян Том]

отчеты FRST.txt и Addition.txt

Addition.txt FRST.txt

[Sandor]

Лог FRST.txt получился неполный. Переделайте, пожалуйста.

 

А также прикрепите отчёты обнаружений KES, CureIt и KVRT.

Сейчас после прогона всеми утилитами что-либо находит?

[Ян Том]

Прошу прощения, скидываю полные файлы.

Проверка CureIt и KVRT была с liveCD, запустил .exe позже скину логи.

Addition_10-04-2025 10.22.34.txt FRST_10-04-2025 10.13.21.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  Task: {0AAEFEE0-F16F-4071-8E67-87F73EDFCDC6} - \Microsoft\Windows\MemoryDiagnostic\RunFullMemoryDiagnostic -> Нет файла <==== ВНИМАНИЕ
  Task: {3C2DBBB7-808A-40BC-9808-4BF913E38F18} - \Microsoft\Windows\MemoryDiagnostic\ProcessMemoryDiagnosticEvents -> Нет файла <==== ВНИМАНИЕ
  Task: {6EA4153A-31EA-4CCB-B3B5-6A8CBF9421C7} - \Optimize Start Menu Cache Files-S-1-5-21-3441480893-495274380-337113391-500 -> Нет файла <==== ВНИМАНИЕ
  Task: {83DDA62F-49A9-4E4B-AE8A-DBD4859118D0} - \WPD\SqmUpload_S-1-5-21-3441480893-495274380-337113391-500 -> Нет файла <==== ВНИМАНИЕ
  Task: {9EC6517C-2DA6-4703-AD56-8BA0FA87AC11} - \WPD\SqmUpload_S-1-5-21-2436868982-3069311090-735360575-500 -> Нет файла <==== ВНИМАНИЕ
  C:\Users\Администратор.CSDN\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf
  FirewallRules: [{FB85D92A-1EA6-448E-9B23-F6F87BC3C91E}] => (Allow) LPort=6602
  FirewallRules: [{70B09FBD-669D-4919-B9B9-B2E10DD9CB5E}] => (Allow) LPort=8912
  FirewallRules: [{67E2BD23-4704-4507-940E-4F205EF99110}] => (Allow) LPort=8912
  FirewallRules: [{6DE7B20B-D003-4A0D-AC9D-93BBB33D0F97}] => (Allow) LPort=65520
  FirewallRules: [{C29D2AAF-FD9D-4CB7-B0CD-79B163B64CE2}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe => Нет файла
  FirewallRules: [{D761A6AC-D33B-4690-8B74-9070EE5268FB}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe => Нет файла
  FirewallRules: [{48791786-9D50-4D87-9D9E-5A3B6E14ACD8}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe => Нет файла
  FirewallRules: [{079E88D9-EC2C-4CA0-88E8-53F3D1A5C0DA}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe => Нет файла
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер следует перезагрузить вручную.

Подробнее читайте в этом руководстве.

 

Если перечисленные порты файервола открывали самостоятельно, уберите эти четыре строки из скрипта.

[Ян Том]

Спасибо за скрипт.

 

Прикрепляю файлы логов KVRT и KES. Проверки производились ДО запуска вашего скрипта. Лог CureIt весит больше 5 мб.

 

Также прикрепляю Fixlog.txt ПОСЛЕ выполнения скрипта

report_2025.04.10_11.57.22.klr.rar kesLog.txt Fixlog.txt

[Sandor]

Судя по отчёту KVRT, все найденные угрозы были успешно удалены.

Сейчас наличие майнера как-то внешне проявляется?

[Ян Том]

Добрый день! Прогнал еще раз KVRT, CureIt и полную проверку KES.

KVRT нашел два подозрительных файла, kes и cureIt не заметил их.

 

kes_log_afterScript.txt report_2025.04.11_13.27.33.klr.rar

[Sandor]

3 минуты назад, Ян Том сказал:

KVRT нашел два подозрительных файла

А вам известен этот файл? (hfs.exe)

[Ян Том]

Да, известен.

Получается, проблема решена.

Спасибо вам большое!

[Sandor]

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Ян Том]

 SecurityCheck.txt

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Расширенная поддержка закончилась 10.01.2023, Ваша операционная система может быть уязвима к новым типам угроз
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен контроль учетных записей (UAC)?

 

Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Kaspersky Endpoint Security для Windows v.12.7.0.533 Внимание! Скачать обновления
Microsoft SQL Server 2012 Management Objects  (x64) v.11.4.7001.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Express LocalDB  v.11.4.7001.0 Данная программа больше не поддерживается разработчиком.
AnyDesk v.ad 6.3.2 Внимание! Скачать обновления
FileZilla Client 3.49.1 v.3.49.1 Внимание! Скачать обновления
TeamViewer 11 v.11.0.259193 Внимание! Скачать обновления
WinSCP 5.17.7 v.5.17.7 Внимание! Скачать обновления
Veeam Agent for Microsoft Windows v.4.0.1.2169 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком. Удалите старую версию, скачайте и установите новую.
Far Manager 3 x64 v.3.0.3525 Внимание! Скачать обновления
TreeSize Free V4.4.2 v.4.4.2 Внимание! Скачать обновления
TightVNC v.2.8.63.0 Внимание! Программа удаленного доступа!
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-x64.exe - Windows Offline (64-bit))^
Adobe Acrobat Reader DC - Russian v.17.009.20044 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Update Helper v.1.3.25.11 Данная программа больше не поддерживается разработчиком.
 

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.34 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Security Task Manager 2.4 v.2.4 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

Дополнительные сканирования не нужны, просто удалите нежелательные программы.

 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".