Перейти к содержанию
Правила раздела

[РЕШЕНО] Не удаляется вирус Win32/Trojan.Generic.HgLATxcA

Belvol

Автор Belvol
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Belvol

Belvol

Опубликовано
Опубликовано

Здравствуйте. Поймал троян-майнер. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста

CollectionLog-2025.07.01-00.20.zip

safety

safety

Опубликовано
Опубликовано

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Belvol

Belvol

Опубликовано
  • Автор
Опубликовано

Сделал

6 часов назад, safety сказал:

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

 

BVV_2025-07-01_14-08-37_v5.0.RC3.v x64.7z

safety

safety

Опубликовано
Опубликовано

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
del %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\DRIVERS\IALPSS2_I2C_CNL.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\22.3.5106.64\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXTELEMOST\2.5.0.5828\YANDEXTELEMOST.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\VK CALLS\BIN\VKCALLS.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXDISK2\3.2.28.4901\YANDEXDISK2.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Belvol

Belvol

Опубликовано
  • Автор
Опубликовано
3 часа назад, safety сказал:

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
del %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\DRIVERS\IALPSS2_I2C_CNL.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\22.3.5106.64\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXTELEMOST\2.5.0.5828\YANDEXTELEMOST.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\VK CALLS\BIN\VKCALLS.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXDISK2\3.2.28.4901\YANDEXDISK2.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Готово

ZOO_2025-07-01_19-45-43.7z FRST.txt

safety

safety

Опубликовано
Опубликовано

Второй файл из логов FRST так же нужен. Addition.txt

Belvol

Belvol

Опубликовано
  • Автор
Опубликовано
2 часа назад, safety сказал:

Второй файл из логов FRST так же нужен. Addition.txt

 

Addition.txt

safety

safety

Опубликовано
Опубликовано

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, что с проблемой майнера? Продолжается восстановление после перезагрузки системы или нет.

  • Like (+1) 1
Belvol

Belvol

Опубликовано
  • Автор
Опубликовано
21 час назад, safety сказал:

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, что с проблемой майнера? Продолжается восстановление после перезагрузки системы или нет.

Да, проблема майнера не ушла, так же появляется после перезагрузки системы.  (Win64/Miner.BitMiner.HgEATpUA)

Fixlog.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Такой скрипт выполните в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\
deldirex %SystemDrive%\PROGRAMDATA\WINAIHSERVICE
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено пользователем safety
  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

Можно без цитирования  обойтись?

Просто написать краткий комментарий, что изменилось или не изменилось после выполнения рекомендаций в сообщении, и необходимые логи, которые запросили.

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)

Такой скрипт еще выполните в FRST

  

Start::
HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
2025-07-04 16:20 - 2025-05-06 18:50 - 000000000 ____D C:\ProgramData\WinAIHService
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, что с проблемой майнера? Продолжается восстановление после перезагрузки системы или нет.

 

Если проблема решена:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Изменено пользователем safety
  • Like (+1) 1
Belvol

Belvol

Опубликовано
  • Автор
Опубликовано

Извините, думал Вам проще будет отслеживать если делать цитату. 

Последний скрипт в UVs дал плоды. Сегодня майнер не появлялся, сколько бы не перезагружал. 

Fixlog.txt SecurityCheck.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Да, тут куда уж проще, вдвоем общаемся :), иногда может кто-то еще из консультантов или модераторов подключиться. И все. Нет проблем, поднять голову вверх, и просмотреть предыдущие сообщения.

Проще как раз, когда один пишет за другим. Цитирование полезно в том случае, если вы комментируете более раннее сообщение, или есть необходимость сделать на чем то акцент.

 

По возможности, обновите данное ПО:

 

Среда выполнения Microsoft Edge WebView2 Runtime v.137.0.3296.93 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Steam v.2.10.91.91
TechPowerUp GPU-Z v.2.65.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.25.105.0601.0002 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 7.11 (64-разрядная) v.7.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.5.16.1 Внимание! Скачать обновления

Yandex v.25.6.0.2370 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.138.0.7204.96 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

 

Изменено пользователем safety
  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • woi12
      [РЕШЕНО] Не удаляется вирус Trojan.win32.Agentb.adkr
      Автор woi12
      Здравствуйте, проблема решилась таким образом? И на каком этапе? Вроде как программа kaspersky сама справилась с удалением файла и я пока не заметил никаких проблем, но для безопасности сделал все пункты до скана FRCT (включительно).
       
      Сообщение от модератора thyrex Перенесено из темы
    • anonymous7
      [РЕШЕНО] Появился вирус на компе, когда удаляю после перезагрузки он воостанавливается. Помогите пожалуйста!
      Автор anonymous7
      Подозреваю что зашел на какой-нибудь сайт который мне и подкинул вирус. в диспетчере задач появились 2 setup.exe, я их отключаю но после перезапуска компа они снова работают и вирус после удаление тоже востанавливается. Скинул скрин пути к вирусу. Malwarebytes после перезагрузки сразу помещает в карантин вирус

    • Anton3456
      [РЕШЕНО] появился вирус
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • Adowne
      [РЕШЕНО] xoscarfcysrp.exe не удаляется
      Автор Adowne
      Доброго времени суток.

      Через Malwarebytes решил проверить пк на вирусы, обнаружился некий товарищ, появился сервис KMDIPP с путём C:\ProgramData\vgodrqhybann\xoscarfcysrp.exe, просмотрел через реестр, удалял, менял значения, в свою очередь сервис пересоздавался и бойкотировал, отправляя левый трафик на непонятные порты. (скриншот прикрепил)
      После проходки Uvs, доверенные процессы логгер пометил подозрительными. (лог прикрепил)
      После происходящего, сел на Dr.Web, пришло много заблокированных команд с Powershell (Прикрепить не могу, расширение файла другое), потом успокоился, прошёлся снова Uvs в надежде, что это что-то исправит, однако те же процессы как Dialer.exe и прочие были помечены а сервис KMDIPP с exeшником остался.


      CollectionLog через AutoLogger сделал после всех манипуляций.
       

      CollectionLog-2025.05.31-13.16.zip USER-PC_2025-05-31_11-05-12_v5.0.RC2.v x64.7z
    • Serega11Rus
      [РЕШЕНО] Не удаляется Trojan:PowerShell/Boxter.HBZ!MTB
      Автор Serega11Rus
      Здравствуйте. Скорее всего поймал троян-майнер. Комп в режиме ожидания нагружает ЦП, при включении диспетчера задач, процессор со 100% нагрузки падает моментально на 3-6%. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста
      CollectionLog-2025.07.02-12.36.zip
×
×
  • Создать...