Перейти к содержанию

[РЕШЕНО] Не удаляется вирус Win32/Trojan.Generic.HgLATxcA


Рекомендуемые сообщения

Здравствуйте. Поймал троян-майнер. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста

CollectionLog-2025.07.01-00.20.zip

Ссылка на комментарий
Поделиться на другие сайты

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Ссылка на комментарий
Поделиться на другие сайты

Сделал

6 часов назад, safety сказал:

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

 

BVV_2025-07-01_14-08-37_v5.0.RC3.v x64.7z

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
del %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\DRIVERS\IALPSS2_I2C_CNL.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\22.3.5106.64\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXTELEMOST\2.5.0.5828\YANDEXTELEMOST.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\VK CALLS\BIN\VKCALLS.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXDISK2\3.2.28.4901\YANDEXDISK2.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, safety сказал:

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
del %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\DRIVERS\IALPSS2_I2C_CNL.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\22.3.5106.64\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXTELEMOST\2.5.0.5828\YANDEXTELEMOST.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\VK CALLS\BIN\VKCALLS.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXDISK2\3.2.28.4901\YANDEXDISK2.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Готово

ZOO_2025-07-01_19-45-43.7z FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, что с проблемой майнера? Продолжается восстановление после перезагрузки системы или нет.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

21 час назад, safety сказал:

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, что с проблемой майнера? Продолжается восстановление после перезагрузки системы или нет.

Да, проблема майнера не ушла, так же появляется после перезагрузки системы.  (Win64/Miner.BitMiner.HgEATpUA)

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Такой скрипт выполните в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\
deldirex %SystemDrive%\PROGRAMDATA\WINAIHSERVICE
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

В 03.07.2025 в 08:33, safety сказал:

 

В 02.07.2025 в 04:30, safety сказал:

 

Addition.txt FRST.txt 2025-07-04_16-19-57_log.txt

Изменено пользователем safety
убрал своё прошлое сообщение
Ссылка на комментарий
Поделиться на другие сайты

Можно без цитирования  обойтись?

Просто написать краткий комментарий, что изменилось или не изменилось после выполнения рекомендаций в сообщении, и необходимые логи, которые запросили.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Такой скрипт еще выполните в FRST

 

Start::
HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
2025-07-04 16:20 - 2025-05-06 18:50 - 000000000 ____D C:\ProgramData\WinAIHService
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, что с проблемой майнера? Продолжается восстановление после перезагрузки системы или нет.

 

Если проблема решена:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Извините, думал Вам проще будет отслеживать если делать цитату. 

Последний скрипт в UVs дал плоды. Сегодня майнер не появлялся, сколько бы не перезагружал. 

Fixlog.txt SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

Да, тут куда уж проще, вдвоем общаемся :), иногда может кто-то еще из консультантов или модераторов подключиться. И все. Нет проблем, поднять голову вверх, и просмотреть предыдущие сообщения.

Проще как раз, когда один пишет за другим. Цитирование полезно в том случае, если вы комментируете более раннее сообщение, или есть необходимость сделать на чем то акцент.

 

По возможности, обновите данное ПО:

 

Среда выполнения Microsoft Edge WebView2 Runtime v.137.0.3296.93 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Steam v.2.10.91.91
TechPowerUp GPU-Z v.2.65.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.25.105.0601.0002 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 7.11 (64-разрядная) v.7.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.5.16.1 Внимание! Скачать обновления

Yandex v.25.6.0.2370 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.138.0.7204.96 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

 

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • woi12
      Автор woi12
      Здравствуйте, проблема решилась таким образом? И на каком этапе? Вроде как программа kaspersky сама справилась с удалением файла и я пока не заметил никаких проблем, но для безопасности сделал все пункты до скана FRCT (включительно).
       
      Сообщение от модератора thyrex Перенесено из темы
    • Adowne
      Автор Adowne
      Доброго времени суток.

      Через Malwarebytes решил проверить пк на вирусы, обнаружился некий товарищ, появился сервис KMDIPP с путём C:\ProgramData\vgodrqhybann\xoscarfcysrp.exe, просмотрел через реестр, удалял, менял значения, в свою очередь сервис пересоздавался и бойкотировал, отправляя левый трафик на непонятные порты. (скриншот прикрепил)
      После проходки Uvs, доверенные процессы логгер пометил подозрительными. (лог прикрепил)
      После происходящего, сел на Dr.Web, пришло много заблокированных команд с Powershell (Прикрепить не могу, расширение файла другое), потом успокоился, прошёлся снова Uvs в надежде, что это что-то исправит, однако те же процессы как Dialer.exe и прочие были помечены а сервис KMDIPP с exeшником остался.


      CollectionLog через AutoLogger сделал после всех манипуляций.
       

      CollectionLog-2025.05.31-13.16.zip USER-PC_2025-05-31_11-05-12_v5.0.RC2.v x64.7z
    • Serega11Rus
      Автор Serega11Rus
      Здравствуйте. Скорее всего поймал троян-майнер. Комп в режиме ожидания нагружает ЦП, при включении диспетчера задач, процессор со 100% нагрузки падает моментально на 3-6%. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста
      CollectionLog-2025.07.02-12.36.zip
    • Kir_new
      Автор Kir_new
      Изначально было, что компьютер всё себя странно, в том плане, что не открывались некоторые программы (например "Ножницы" или "Редактор реестра"). После проверки KVRT было найдено 13 вирусов (сколько-то из них потенциальных). После очистки заработало всё нормально. Но при повторной проверке всё равно находятся UDS:DangerousObject.Multi.Generic и HEUR:Trojan.Win64.Miner.gen. При этом они просто помещаются в каратин. После этого какое-то время после этого антивирус их не находит. Но затем они появляются снова (удаляешь их из карантина или нет).
      Так же иногда находятся Trojan.Win64(32)Autoit.acpju и Trojan.Win64(32)AutoIt.fpl. В скобках написал, потому что точно не помню, так как они даже не добавились в карантин в последний раз.

    • Шавкат Аблазов
      Автор Шавкат Аблазов
      Уже несколько месяцев,раз,а то и несколько раз в неделю касперский находит данный троян MEM:Trojan.Win32.SEPEH.gen,после каждого лечения через некоторое время  снова возникает он при проверке,т.е никак не удаляется,прошу помочь
      CollectionLog-2025.05.23-23.11.zip
×
×
  • Создать...