[РЕШЕНО] Не удаляется вирус Win32/Trojan.Generic.HgLATxcA

[Belvol]

Здравствуйте. Поймал троян-майнер. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста

CollectionLog-2025.07.01-00.20.zip

[safety]

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[Belvol]

Сделал

6 часов назад, safety сказал:

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

 

BVV_2025-07-01_14-08-37_v5.0.RC3.v x64.7z

[safety]

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
del %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\DRIVERS\IALPSS2_I2C_CNL.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\22.3.5106.64\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXTELEMOST\2.5.0.5828\YANDEXTELEMOST.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\VK CALLS\BIN\VKCALLS.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXDISK2\3.2.28.4901\YANDEXDISK2.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

[Belvol]

3 часа назад, safety сказал:

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
del %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\DRIVERS\IALPSS2_I2C_CNL.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\22.3.5106.64\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXTELEMOST\2.5.0.5828\YANDEXTELEMOST.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\VK CALLS\BIN\VKCALLS.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXDISK2\3.2.28.4901\YANDEXDISK2.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Готово

ZOO_2025-07-01_19-45-43.7z FRST.txt

[safety]

Второй файл из логов FRST так же нужен. Addition.txt

[Belvol]

2 часа назад, safety сказал:

Второй файл из логов FRST так же нужен. Addition.txt

 

Addition.txt

[safety]

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, что с проблемой майнера? Продолжается восстановление после перезагрузки системы или нет.

[Belvol]

21 час назад, safety сказал:

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, что с проблемой майнера? Продолжается восстановление после перезагрузки системы или нет.

Да, проблема майнера не ушла, так же появляется после перезагрузки системы.  (Win64/Miner.BitMiner.HgEATpUA)

Fixlog.txt

[safety]

Такой скрипт выполните в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\
deldirex %SystemDrive%\PROGRAMDATA\WINAIHSERVICE
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено 3 июля пользователем safety

[Belvol]

В 03.07.2025 в 08:33, safety сказал:

 

В 02.07.2025 в 04:30, safety сказал:

 

Addition.txt FRST.txt 2025-07-04_16-19-57_log.txt

Изменено 4 июля пользователем safety
убрал своё прошлое сообщение

[safety]

Можно без цитирования  обойтись?

Просто написать краткий комментарий, что изменилось или не изменилось после выполнения рекомендаций в сообщении, и необходимые логи, которые запросили.

[safety]

Такой скрипт еще выполните в FRST

 

Start::
HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
2025-07-04 16:20 - 2025-05-06 18:50 - 000000000 ____D C:\ProgramData\WinAIHService
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, что с проблемой майнера? Продолжается восстановление после перезагрузки системы или нет.

 

Если проблема решена:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Изменено 4 июля пользователем safety

[Belvol]

Извините, думал Вам проще будет отслеживать если делать цитату. 

Последний скрипт в UVs дал плоды. Сегодня майнер не появлялся, сколько бы не перезагружал. 

Fixlog.txt SecurityCheck.txt

[safety]

Да, тут куда уж проще, вдвоем общаемся , иногда может кто-то еще из консультантов или модераторов подключиться. И все. Нет проблем, поднять голову вверх, и просмотреть предыдущие сообщения.

Проще как раз, когда один пишет за другим. Цитирование полезно в том случае, если вы комментируете более раннее сообщение, или есть необходимость сделать на чем то акцент.

 

По возможности, обновите данное ПО:

 

Среда выполнения Microsoft Edge WebView2 Runtime v.137.0.3296.93 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Steam v.2.10.91.91
TechPowerUp GPU-Z v.2.65.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.25.105.0601.0002 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 7.11 (64-разрядная) v.7.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.5.16.1 Внимание! Скачать обновления

Yandex v.25.6.0.2370 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.138.0.7204.96 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

 

Изменено 6 июля пользователем safety