Не удаляются вирусы. UDS:DangerousObject.Multi.Generic и HEUR:Trojan.Win64.Miner.gen.

[Kir_new]

Изначально было, что компьютер всё себя странно, в том плане, что не открывались некоторые программы (например "Ножницы" или "Редактор реестра"). После проверки KVRT было найдено 13 вирусов (сколько-то из них потенциальных). После очистки заработало всё нормально. Но при повторной проверке всё равно находятся UDS:DangerousObject.Multi.Generic и HEUR:Trojan.Win64.Miner.gen. При этом они просто помещаются в каратин. После этого какое-то время после этого антивирус их не находит. Но затем они появляются снова (удаляешь их из карантина или нет).

Так же иногда находятся Trojan.Win64(32)Autoit.acpju и Trojan.Win64(32)AutoIt.fpl. В скобках написал, потому что точно не помню, так как они даже не добавились в карантин в последний раз.

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[Kir_new]

CollectionLog-2025.07.24-00.53.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Kir_new]

FRST, Addition .zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [9c8bacea-8095-4c75-9201-5fd6fe100932] => "C:\Users\ASUS\AppData\Local\Temp\{8d06dc37-04d7-4313-b5b2-063311644469}\9c8bacea-8095-4c75-9201-5fd6fe100932.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
Task: {53B7BB92-AB49-46AD-A511-957D61BAD3FA} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem140.0.7272.0{E7D07D6F-E10F-4291-BB89-9F4369891383} => "C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe"  --wake --system (Нет файла)
Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe  (Нет файла)
Task: {B6C81BE5-6586-474A-9B3B-A7D5D3D25CA2} - System32\Tasks\Microsoft\Windows\PI\SecureBootEncodeUEFI => %WINDIR%\system32\SecureBootEncodeUEFI.exe  (Нет файла)
Task: {0BB36A32-0D9E-4297-AFD7-6BD7B5DB4C9B} - System32\Tasks\Microsoft\Windows\UNP\RunUpdateNotificationMgr => %windir%\System32\UNP\UpdateNotificationMgr.exe  (Нет файла)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
Task: {8E812A74-A96E-4845-A8C7-2D2C0FDA4732} - System32\Tasks\Uninstall AdwCleaner Application => C:\Users\ASUS\Downloads\adwcleaner.exe  /uninstall (Нет файла)
S2 GoogleUpdaterInternalService140.0.7272.0; "C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe" --system --windows-service --service=update-internal [X]
S2 GoogleUpdaterService140.0.7272.0; "C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe" --system --windows-service --service=update [X]
2025-07-23 08:27 - 2025-07-23 08:27 - 000012716 _____ C:\ProgramData\hhlztlzv.mwb
2025-07-23 08:27 - 2025-07-23 08:27 - 000012311 _____ C:\ProgramData\sguasgrp.vby
2025-07-23 08:24 - 2025-07-23 08:24 - 000012545 _____ C:\ProgramData\ewovniqx.sfe
2025-07-23 08:24 - 2025-07-23 08:24 - 000012302 _____ C:\ProgramData\fxfdbcqs.cpi
Folder: C:\WINDOWS\system32\5E37410B-D6F1-471D-AE27-563CEAC0D6B2
2025-07-20 02:11 - 2024-04-01 10:26 - 000000000 __RHD C:\Users\Public\Libraries
2025-07-19 23:43 - 2024-07-03 21:18 - 000000000 _RSHD C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
2025-07-19 23:43 - 2024-07-03 21:18 - 000000000 _RSHD C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}
2025-07-19 23:34 - 2024-07-03 21:18 - 000000000 ____D C:\ProgramData\AUX..
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nur\"",Filter="__EventFilter.Name=\"nur\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"pers\"",Filter="__EventFilter.Name=\"pers\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nut\"",Filter="__EventFilter.Name=\"nut\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"per\"",Filter="__EventFilter.Name=\"per\"::
WMI:subscription\__EventFilter->nur::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 300 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->nut::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->per::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->pers::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->nur::[CommandLineTemplate => C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}\nun.bat]
WMI:subscription\CommandLineEventConsumer->per::[CommandLineTemplate => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat]
AlternateDataStreams: C:\Users\ASUS\Downloads\kvrt (1).exe:MBAM.Zone.Identifier [100]
FirewallRules: [UDP Query User{A99471A2-0B96-40C1-88AA-5272BAD70EFD}C:\users\asus\appdata\local\temp\16373_iniciarenwindows.exe] => (Allow) C:\users\asus\appdata\local\temp\16373_iniciarenwindows.exe => Нет файла
FirewallRules: [TCP Query User{1AE31F48-D0C9-4911-8A9A-D3B8C54C33A1}C:\users\asus\appdata\local\temp\16373_iniciarenwindows.exe] => (Allow) C:\users\asus\appdata\local\temp\16373_iniciarenwindows.exe => Нет файла
FirewallRules: [{5CF694A2-5C50-4952-BDB9-4C617B58BC0E}] => (Allow) C:\Users\ASUS\AppData\Roaming\BitTorrent\BitTorrent.exe => Нет файла
FirewallRules: [{72D29C62-A361-4931-9090-E0822FFDAD31}] => (Allow) C:\Users\ASUS\AppData\Roaming\BitTorrent\BitTorrent.exe => Нет файла
FirewallRules: [{E7D1F99A-9755-4BC3-91A6-F4DF7F7DF31C}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_4.0.16.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{BFAE758A-4EB4-4A24-BDFC-50AEAF91E995}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_4.0.16.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{B6C1F595-07BF-491D-AD88-20EF451595AF}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_4.0.16.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{F2E82B05-87D2-420D-A8E7-4F5F0F24735B}] => (Allow) C:\Program Files\WindowsApps\B9ECED6F.ASUSPCAssistant_4.0.16.0_x64__qmba6cd70vzyy\MyASUS\AsusMyASUS.exe => Нет файла
FirewallRules: [{7044A87C-2150-4CA2-903D-BDC208AA5A78}] => (Allow) C:\WINDOWS\System32\DriverStore\FileRepository\asussci2.inf_amd64_4fc38a913e0f2ea5\ASUSLinkRemote\AsusLinkRemoteAgent.exe => Нет файла
FirewallRules: [{E268EAFE-DB2D-4CCD-94FA-172CC103A24E}] => (Allow) C:\WINDOWS\System32\DriverStore\FileRepository\asussci2.inf_amd64_4fc38a913e0f2ea5\ASUSLinkRemote\AsusLinkRemoteAgent.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Kir_new]

Не знаю, относится ли это к данному вопросу, но во время перезагрузки возникла надпись:
Initialize...
Please plug in AC!!
System doesn't permit flashing BIOS!! Please press any key after plug in AC!! 
После того, как поставил на зарядку, но система предложила обносить BIOS, но не стал обновлять.

Fixlog.txt

[thyrex]

Проблема с майнером решена?

[Kir_new]

Теперь это отображается так

[thyrex]

На путь, где обнаруживается, посмотрите. Это карантин Farbar, который можно удалить.

 

 

Изменено 25 июля пользователем Sandor

[Kir_new]

Да, спасибо. После удаления карантина больше не находятся эти вирусы.

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.