Перейти к содержанию
Правила раздела

[РЕШЕНО] HEUR:Trojan.Multi.Runner.t HEUR:Trojan.Win32.Miner.gen

Ян Том

Автор Ян Том
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Лог FRST.txt получился неполный. Переделайте, пожалуйста.

 

А также прикрепите отчёты обнаружений KES, CureIt и KVRT.

Сейчас после прогона всеми утилитами что-либо находит?

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
Task: {0AAEFEE0-F16F-4071-8E67-87F73EDFCDC6} - \Microsoft\Windows\MemoryDiagnostic\RunFullMemoryDiagnostic -> Нет файла <==== ВНИМАНИЕ
Task: {3C2DBBB7-808A-40BC-9808-4BF913E38F18} - \Microsoft\Windows\MemoryDiagnostic\ProcessMemoryDiagnosticEvents -> Нет файла <==== ВНИМАНИЕ
Task: {6EA4153A-31EA-4CCB-B3B5-6A8CBF9421C7} - \Optimize Start Menu Cache Files-S-1-5-21-3441480893-495274380-337113391-500 -> Нет файла <==== ВНИМАНИЕ
Task: {83DDA62F-49A9-4E4B-AE8A-DBD4859118D0} - \WPD\SqmUpload_S-1-5-21-3441480893-495274380-337113391-500 -> Нет файла <==== ВНИМАНИЕ
Task: {9EC6517C-2DA6-4703-AD56-8BA0FA87AC11} - \WPD\SqmUpload_S-1-5-21-2436868982-3069311090-735360575-500 -> Нет файла <==== ВНИМАНИЕ
C:\Users\Администратор.CSDN\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf
FirewallRules: [{FB85D92A-1EA6-448E-9B23-F6F87BC3C91E}] => (Allow) LPort=6602
FirewallRules: [{70B09FBD-669D-4919-B9B9-B2E10DD9CB5E}] => (Allow) LPort=8912
FirewallRules: [{67E2BD23-4704-4507-940E-4F205EF99110}] => (Allow) LPort=8912
FirewallRules: [{6DE7B20B-D003-4A0D-AC9D-93BBB33D0F97}] => (Allow) LPort=65520
FirewallRules: [{C29D2AAF-FD9D-4CB7-B0CD-79B163B64CE2}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe => Нет файла
FirewallRules: [{D761A6AC-D33B-4690-8B74-9070EE5268FB}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe => Нет файла
FirewallRules: [{48791786-9D50-4D87-9D9E-5A3B6E14ACD8}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe => Нет файла
FirewallRules: [{079E88D9-EC2C-4CA0-88E8-53F3D1A5C0DA}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe => Нет файла
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер следует перезагрузить вручную.

Подробнее читайте в этом руководстве.

 

Если перечисленные порты файервола открывали самостоятельно, уберите эти четыре строки из скрипта.

Ян Том

Ян Том

Опубликовано
  • Автор
Опубликовано

Спасибо за скрипт.

 

Прикрепляю файлы логов KVRT и KES. Проверки производились ДО запуска вашего скрипта. Лог CureIt весит больше 5 мб.

 

Также прикрепляю Fixlog.txt ПОСЛЕ выполнения скрипта

report_2025.04.10_11.57.22.klr.rar kesLog.txt Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Судя по отчёту KVRT, все найденные угрозы были успешно удалены.

Сейчас наличие майнера как-то внешне проявляется?

Sandor

Sandor

Опубликовано
Опубликовано
3 минуты назад, Ян Том сказал:

KVRT нашел два подозрительных файла

А вам известен этот файл? (hfs.exe)

Ян Том

Ян Том

Опубликовано
  • Автор
Опубликовано

Да, известен.

Получается, проблема решена.

Спасибо вам большое!

Sandor

Sandor

Опубликовано
Опубликовано

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

Расширенная поддержка закончилась 10.01.2023, Ваша операционная система может быть уязвима к новым типам угроз
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен контроль учетных записей (UAC)?

 

Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Kaspersky Endpoint Security для Windows v.12.7.0.533 Внимание! Скачать обновления
Microsoft SQL Server 2012 Management Objects  (x64) v.11.4.7001.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Express LocalDB  v.11.4.7001.0 Данная программа больше не поддерживается разработчиком.
AnyDesk v.ad 6.3.2 Внимание! Скачать обновления
FileZilla Client 3.49.1 v.3.49.1 Внимание! Скачать обновления
TeamViewer 11 v.11.0.259193 Внимание! Скачать обновления
WinSCP 5.17.7 v.5.17.7 Внимание! Скачать обновления
Veeam Agent for Microsoft Windows v.4.0.1.2169 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком. Удалите старую версию, скачайте и установите новую.
Far Manager 3 x64 v.3.0.3525 Внимание! Скачать обновления
TreeSize Free V4.4.2 v.4.4.2 Внимание! Скачать обновления
TightVNC v.2.8.63.0 Внимание! Программа удаленного доступа!
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-x64.exe - Windows Offline (64-bit))^
Adobe Acrobat Reader DC - Russian v.17.009.20044 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Update Helper v.1.3.25.11 Данная программа больше не поддерживается разработчиком.
 

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.34 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Security Task Manager 2.4 v.2.4 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

Дополнительные сканирования не нужны, просто удалите нежелательные программы.

 

Читайте Рекомендации после удаления вредоносного ПО

  • 2 недели спустя...
Sandor

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Николай212322122
      [РЕШЕНО] Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
    • babytati
      tool.btcmine.2714
      Автор babytati
      Здравствуйте, в последнее время начал замечать странную работу компьютера в разных играх (незначительные просадки fps, странные баги, частые фризы). Проверил компьютер через DrWeb - было обнаружено "10 угроз" одной из которых являлся тот самый файл tool.btcmine.2714. Я решил в том же самом DrWeb обезвредить все вредоносные файлы, которые нашла программа (я уже понял, что скорее всего это никак не помогло).После того, как антивирус закончил свою работу, я решил проверить, не исчезла ли проблема. Не исчезла - в играх всё те же баги, внезапные просадки и зависания, хотя в диспетчере задач явных признаков переработки процессора и видеокарты не было. Наткнулся на информацию, что "tool.btcmine.2714" в принципе CureIt не может удалить (хотя при последующих проверках через CureIt никаких вредоносных файлов обнаружено не было).  Вдобавок ко всему этому, не могу проверить компьютер через другие антивирусы (тот же самый RogueKiller), установка просто блокируется. Помогите пожалуйста разобраться в проблеме.
       
×
×
  • Создать...