Перейти к содержанию
Правила раздела

[РЕШЕНО] Trojan.Win32.Shellcode.btx попался на майнер

NotDev

Автор NotDev
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

NotDev

NotDev

Опубликовано
Опубликовано

Доброго времени суток. Помогите пожалуйста. Собственно, скачал с яндекса Notepad++, сайт индексировался выше, чем оригинальный сайт, не заметил этого. Просканировал с помощью ESET и KVRT. Вылечил файлы, отправил с помощью AVZ по данной форме файл Форма отправки карантина, а потом наткнулся на данную тему.
[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста - Помощь в удалении вирусов - Kaspersky Club | Клуб «Лаборатории Касперского»

файлы точно такие же, директории тоже и происходит точно такая же ситуация.
Сам "установочный файл" отправил на any.run, результат можете посмотреть тут
https://app.any.run/tasks/6cc9f3a2-26a3-4175-a5e9-157595baa225

1) AutoLogger - логи с него.
2) Farbar Recovery Scan Tool - так же лог с него.

Шаг с AVZ был пропущен, так как я уже выполнил скрипт и отправил на форму.

CollectionLog-2025.07.06-21.02.zip FRST.zip

thyrex

thyrex

Опубликовано
Опубликовано
50 минут назад, NotDev сказал:

Помогите пожалуйста

А с чем помочь? Вы же себя профи посчитали и сами решили управиться.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)
HKLM\ DisallowedCertificates: EE45853E5C81DB8FDBB7F92C18B20972C744911C (U)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
ProxyServer: [S-1-5-21-182466234-659180651-3946912830-1001] => hxxp://127.0.0.1:12334
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-182466234-659180651-3946912830-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-06-10] (Microsoft Windows -> Microsoft Corporation)
U3 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2025-05-24] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [143360 2025-06-13] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-06-13] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [184704 2025-06-28] (Microsoft Windows -> Microsoft Corporation)
C:\WINDOWS\SysWOW64\version_IObitDel.dll
CustomCLSID: HKU\S-1-5-21-182466234-659180651-3946912830-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => No File
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
AlternateDataStreams: C:\ProgramData\ace-drc.dat:3A612465FA [5154]
AlternateDataStreams: C:\ProgramData\ace-drc.dat:A0EB9E5270 [5154]
AlternateDataStreams: C:\ProgramData\profile_count_updates.json:97591D8DD9 [6866]
AlternateDataStreams: C:\ProgramData\UpdateLock-updates:152ECEF034 [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\O&O ShutUp10 (отключение шпионских функций AntiSpy).lnk:1D13FECCC4 [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [6866]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ExpressVPN.lnk:193B723030 [6866]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [6866]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sublime Text.lnk:6273A386FD [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [4298]
AlternateDataStreams: C:\Users\Public\Documents\install-log-admin.txt:C78B9AA6F5 [6866]
FirewallRules: [{4DDED8B7-AE9C-458B-B0B7-7CE0B4E5229D}] => (Allow) c:\program files (x86)\exitlag\exitlag.exe => No File
FirewallRules: [{E25F2DE4-26E2-4A10-95E6-22FF6DAA6CF1}] => (Allow) c:\program files (x86)\exitlag\exitlag.exe => No File
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
  • Спасибо (+1) 1
NotDev

NotDev

Опубликовано
  • Автор
Опубликовано

Нет, профи я себя не посчитал. Тело вируса нужно было каким либо образом удалить. Прикрепляю Fixlog

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 

  • Спасибо (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

По возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Bitwarden v.2025.6.0 Внимание! Скачать обновления
VMware Workstation v.17.5.1 Внимание! Скачать обновления
GitHub Desktop v.3.4.20 Внимание! Скачать обновления
Microsoft Edge WebView2 Runtime v.137.0.3296.93 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35208 v.14.44.35208.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35208 v.14.44.35208.0 Внимание! Скачать обновления
Discord v.1.0.9039 Внимание! Скачать обновления
qBittorrent v.5.1.0 Внимание! Скачать обновления
 

На этом закончим.

  • Спасибо (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Спасибо (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • November 11
      [РЕШЕНО] Майнер
      Автор November 11
      Я не знаю от куда появился майнер. Пк был не у меня какое-то время
      Но это точно что-то из этого так как начался сильный нагрев, а также сайты с антивирусом закрывает
      Доступа к сайту нет
      4.zip
    • zerx465
      [РЕШЕНО] Майнер
      Автор zerx465
      У меня аналогичная проблема. Кое-как за пол дня смог собрать файлы, но отправить могу только с телефона. Напишите пж мне на почту по этому вопросу, я скину отсчёты. Очень нужна помощь но с компьютера ничего не работает.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.  
    • Фёдор93
      [РЕШЕНО] майнер
      Автор Фёдор93
      SecurityCheck by glax24 & Severnyj v.1.4.0.54 [06.12.21]
      WebSite: www.safezone.cc
      DateLog: 30.09.2023 21:10:49
      Path starting: C:\Users\fdor_\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
      Log directory: C:\SecurityCheck\
      IsAdmin: True
      User: fdor_
      VersionXML: 10.70is-30.09.2023
      ___________________________________________________________________________
      Windows 10(6.3.19045) (x64) Professional Версия: 2009 Lang: Russian(0419)
      Дата установки ОС: 30.09.2023 12:59:09
      Статус лицензии: Windows(R), Professional edition Windows находится в режиме уведомления
      Режим загрузки: Normal
      Браузер по умолчанию: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
      Системный диск: C: ФС: [NTFS] Емкость: [222.9 Гб] Занято: [30.5 Гб] Свободно: [192.4 Гб]
      ------------------------------- [ Windows ] -------------------------------
      Контроль учётных записей пользователя включен (Уровень 3)
      Центр обеспечения безопасности (wscsvc) - Служба работает
      Удаленный реестр (RemoteRegistry) - Служба остановлена
      Обнаружение SSDP (SSDPSRV) - Служба работает
      Службы удаленных рабочих столов (TermService) - Служба остановлена
      Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
      ---------------------------- [ Antivirus_WMI ] ----------------------------
      Windows Defender (включен и обновлен)
      --------------------------- [ FirewallWindows ] ---------------------------
      Брандмауэр Защитника Windows (mpssvc) - Служба работает
      ------------------------------- [ Backup ] --------------------------------
      Microsoft OneDrive v.21.220.1024.0005 Внимание! Скачать обновления
      ------------------------------- [ Browser ] -------------------------------
      Microsoft Edge v.92.0.902.67 Внимание! Скачать обновления
      ^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
      ------------------ [ AntivirusFirewallProcessServices ] -------------------
      C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23080.2006-0\MsMpEng.exe v.4.18.23080.2006
      C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.23080.2006-0\NisSrv.exe v.4.18.23080.2006
      Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
      Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба работает
      ----------------------------- [ End of Log ] ------------------------------
       
    • kiperenok
      [РЕШЕНО] Майнер
      Автор kiperenok
      Добрый вечер ! Та же проблема. Выполнил первые 2 пункта со скриптами а AVZ. Вот файл карантина 2024.12.22_Quarantine_27237554ca4507fb7f620afc014cd433.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Dmitry Axe
      [РЕШЕНО] Trojan.Win32.SEPEH
      Автор Dmitry Axe
      Добрый день. В последнее время была обнаружена аномальная загрузка ЦП и памяти при очевидном бездействии приложений. Был приобретен и установлен Kaspersky Premium. При проверке был выявлен вирус майнер Trojan.Win32.SEPEH, пойман возможно в начале 2025 года, при каких условиях не совсем понятно. ОС WIN 11 pro 23H2. Также буквально несколько дней назад при попытке скачивания обновления ОС при перезагрузке системы ОС зависла, системы сама вернулась на прошлую версию ОС. При проверке Kaspersky пытается вылечить троян, но при попытке перезагрузки ОС вылетает синее окно с ошибкой. Потом перезапуск, и троян обнаруживатеся по новому. В безопасном режиме ОС также же пробовал удалить трояна - вроде получилось, но при возврате к нормальной версии ОС троян обнаружился снова - видимо идет постоянный анализ и загрузка из вне.  Форум смотрел, но решение такого рода проблем судя по всему индивидуальное и решается либо скриптом, либо переустановкой ОС полной. Прошу помощи.
      CollectionLog-2025.01.20-17.45.zip
×
×
  • Создать...