Перейти к содержанию
Правила раздела

[РЕШЕНО] HEUR:Trojan.Multi.Runner.t HEUR:Trojan.Win32.Miner.gen

Ян Том

Автор Ян Том
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Лог FRST.txt получился неполный. Переделайте, пожалуйста.

 

А также прикрепите отчёты обнаружений KES, CureIt и KVRT.

Сейчас после прогона всеми утилитами что-либо находит?

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
Task: {0AAEFEE0-F16F-4071-8E67-87F73EDFCDC6} - \Microsoft\Windows\MemoryDiagnostic\RunFullMemoryDiagnostic -> Нет файла <==== ВНИМАНИЕ
Task: {3C2DBBB7-808A-40BC-9808-4BF913E38F18} - \Microsoft\Windows\MemoryDiagnostic\ProcessMemoryDiagnosticEvents -> Нет файла <==== ВНИМАНИЕ
Task: {6EA4153A-31EA-4CCB-B3B5-6A8CBF9421C7} - \Optimize Start Menu Cache Files-S-1-5-21-3441480893-495274380-337113391-500 -> Нет файла <==== ВНИМАНИЕ
Task: {83DDA62F-49A9-4E4B-AE8A-DBD4859118D0} - \WPD\SqmUpload_S-1-5-21-3441480893-495274380-337113391-500 -> Нет файла <==== ВНИМАНИЕ
Task: {9EC6517C-2DA6-4703-AD56-8BA0FA87AC11} - \WPD\SqmUpload_S-1-5-21-2436868982-3069311090-735360575-500 -> Нет файла <==== ВНИМАНИЕ
C:\Users\Администратор.CSDN\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf
FirewallRules: [{FB85D92A-1EA6-448E-9B23-F6F87BC3C91E}] => (Allow) LPort=6602
FirewallRules: [{70B09FBD-669D-4919-B9B9-B2E10DD9CB5E}] => (Allow) LPort=8912
FirewallRules: [{67E2BD23-4704-4507-940E-4F205EF99110}] => (Allow) LPort=8912
FirewallRules: [{6DE7B20B-D003-4A0D-AC9D-93BBB33D0F97}] => (Allow) LPort=65520
FirewallRules: [{C29D2AAF-FD9D-4CB7-B0CD-79B163B64CE2}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe => Нет файла
FirewallRules: [{D761A6AC-D33B-4690-8B74-9070EE5268FB}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe => Нет файла
FirewallRules: [{48791786-9D50-4D87-9D9E-5A3B6E14ACD8}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe => Нет файла
FirewallRules: [{079E88D9-EC2C-4CA0-88E8-53F3D1A5C0DA}] => (Allow) C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe => Нет файла
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер следует перезагрузить вручную.

Подробнее читайте в этом руководстве.

 

Если перечисленные порты файервола открывали самостоятельно, уберите эти четыре строки из скрипта.

Ян Том

Ян Том

Опубликовано
  • Автор
Опубликовано

Спасибо за скрипт.

 

Прикрепляю файлы логов KVRT и KES. Проверки производились ДО запуска вашего скрипта. Лог CureIt весит больше 5 мб.

 

Также прикрепляю Fixlog.txt ПОСЛЕ выполнения скрипта

report_2025.04.10_11.57.22.klr.rar kesLog.txt Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Судя по отчёту KVRT, все найденные угрозы были успешно удалены.

Сейчас наличие майнера как-то внешне проявляется?

Sandor

Sandor

Опубликовано
Опубликовано
3 минуты назад, Ян Том сказал:

KVRT нашел два подозрительных файла

А вам известен этот файл? (hfs.exe)

Ян Том

Ян Том

Опубликовано
  • Автор
Опубликовано

Да, известен.

Получается, проблема решена.

Спасибо вам большое!

Sandor

Sandor

Опубликовано
Опубликовано

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

Расширенная поддержка закончилась 10.01.2023, Ваша операционная система может быть уязвима к новым типам угроз
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен контроль учетных записей (UAC)?

 

Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Kaspersky Endpoint Security для Windows v.12.7.0.533 Внимание! Скачать обновления
Microsoft SQL Server 2012 Management Objects  (x64) v.11.4.7001.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Express LocalDB  v.11.4.7001.0 Данная программа больше не поддерживается разработчиком.
AnyDesk v.ad 6.3.2 Внимание! Скачать обновления
FileZilla Client 3.49.1 v.3.49.1 Внимание! Скачать обновления
TeamViewer 11 v.11.0.259193 Внимание! Скачать обновления
WinSCP 5.17.7 v.5.17.7 Внимание! Скачать обновления
Veeam Agent for Microsoft Windows v.4.0.1.2169 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком. Удалите старую версию, скачайте и установите новую.
Far Manager 3 x64 v.3.0.3525 Внимание! Скачать обновления
TreeSize Free V4.4.2 v.4.4.2 Внимание! Скачать обновления
TightVNC v.2.8.63.0 Внимание! Программа удаленного доступа!
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-x64.exe - Windows Offline (64-bit))^
Adobe Acrobat Reader DC - Russian v.17.009.20044 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Update Helper v.1.3.25.11 Данная программа больше не поддерживается разработчиком.
 

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.34 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Security Task Manager 2.4 v.2.4 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

Дополнительные сканирования не нужны, просто удалите нежелательные программы.

 

Читайте Рекомендации после удаления вредоносного ПО

  • 2 недели спустя...
Sandor

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ton
      Зашифровали файлы
      Автор Ton
      Вот такие файлы имеются 


    • Kivitosik
      Подозрение на майнер, при открытии диспечера задач он закрывается
      Автор Kivitosik
      Пока диспечер задач закрыт, гп используется на 0% (смотрю через AMDSoftware). Как только закрываю диспечер, гп зпгружается на 100%. Прикрепил скрины до и после открытия диспечера задач

    • Гюнтер1613
      [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen. Помогите удалить этот вирус!
      Автор Гюнтер1613
      Добрый день!
      Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen
      Kaspersky его находит после проверки и просит Лечение с перезагрузкой. После перезагрузки компьютера, всё по новой.
      Также говорит об mem:backdoor.win32.insistent.gen
      Тоже лечение с перезагрузкой и ничего не меняется.
      Заранее большое спасибо!
    • npoMbIceJI
      Как удалить Tool.BtcMine.2823?
      Автор npoMbIceJI
      добрый день, словил Tool.BtcMine.2823, никак не удаляется, подскажите, пожалуйста, варианты решения!!!
    • Марк Громов
      Проблема с вирусом или трояном.
      Автор Марк Громов
      Здравствуйте, возникла проблема. При запуске ПК программа "Безопасность Windows" предупреждает об опасности и помещении угрозы в карантин.
       
      Обнаружено:
      Adware:Win32/BrowserAssistant
       
      Затронутый элемент:
      file: C:\Users\User\AppData\Local\Temp\nsw9C71.tmp\7z-out\resources\app.asar.unpacked\dist\electron\assets\app.dll
×
×
  • Создать...