Trojan.Win64.Miner.gen, MEM:Backdoor.Win32.Insistent.gen

[safety]

3 часа назад, Ольга Кот сказал:

Очистку загрузила, а вот заархивировать не могу, похоже, Винрар нужно установить. Сделаю завтра

Еще немного дочистим систему.

 

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPICLHKKBGABHAPKLNGKPAHNAAFKGPNE\2.0.0.6_1\FIND-IT.PRO SEARCH
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDOFILOJKOGCNAMNGHAMNJDGJKHGBLEDC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OIKGCNJAMBFOOAIGMDLJBLBAEELMEKEM\2.0.0.7_0\XFINDER. SEARCH
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\OIKGCNJAMBFOOAIGMDLJBLBAEELMEKEM\2.0.0.7_0\XFINDER. SEARCH
delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\OIKGCNJAMBFOOAIGMDLJBLBAEELMEKEM\2.0.0.7_0\XFINDER. SEARCH
apply

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

[Ольга Кот]

здравствуйте, файлы прилагаю

2025-07-02_23-03-47_log.txt FRST.txt Addition.txt

[safety]

Дочищаем систему:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Default -> cdn
[2025-06-25] [UpdateUrl:hxxps://clients32.google.com/service/update2/crx] <==== ВНИМАНИЕ
C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено 4 часа назад пользователем safety