Обнаружено вредоносное приложение HEUR:Trojan.Win64.Miner.gen

[r4pdj]

Здравствуйте.

Неделю назад поставили Kaspersky Plus по подписке на второй компьютер (до этого несколько месяцев компьютер был без защиты). Обнаружилось 2 вируса. Один внедрён в svhost, другой - отдельное приложение майнер. Пробовали лечить, удалять и всё безрезультатно.

[safety]

+

добавьте, пожалуйста, отчет по обнаружениям и сканированию из Касперского

+

дополнительно сделайте образ автозапуска системы в uVS с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Изменено 3 часа назад пользователем safety

[r4pdj]

PAPAPC_2025-09-13_12-11-28_v5.0.1v x64.7z отчёт1.txt отчёт2.txt отчёт3.txt

[safety]

судя по образу есть процесс с модифицированным кодом и он же нагружает CPU

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\SORT.EXE [15580]

(!) Процесс нагружает CPU: FAKE:C:\WINDOWS\SYSTEM32\SORT.EXE [15580]

и есть внедренные потоки в системный файл:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\SVCHOST.EXE [3204], tid=5812

-------------

Скрипт очистки чуть позже напишу.

[safety]

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\CSAMSP.DLL
zoo %SystemDrive%\USERS\PAPA\APPDATA\LOCAL\PROGRAMS\09B34F58\4FD72E8129.MSI
icsuspend
delfake
dirzooex %SystemDrive%\PROGRAMDATA\ARTISTRYMIXER-FADCB3AE-634C-4C5A-9EA7-E5113F404FC1
delref %SystemRoot%\SYSWOW64\CSAMSP.DLL
del %SystemRoot%\SYSWOW64\CSAMSP.DLL
delall %SystemDrive%\USERS\PAPA\APPDATA\LOCAL\PROGRAMS\09B34F58\4FD72E8129.MSI
delall %SystemDrive%\PROGRAMDATA\LUCK-SOUTHWARD\BIN.EXE
delall %SystemDrive%\PROGRAMDATA\TERRIFY-LUNCH\BIN.EXE
deldirex %SystemDrive%\PROGRAMDATA\ARTISTRYMIXER-FADCB3AE-634C-4C5A-9EA7-E5113F404FC1
;------------------------autoscript---------------------------

apply

regt 27
deltmp
delref %SystemDrive%\PROGRAMDATA\ARTISTRYMIXER-FADCB3AE-634C-4C5A-9EA7-E5113F404FC1\SORT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.117\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.97\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.117\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.117\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.93\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\PAPA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.1.715\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\PAPA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.1.715\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\PAPA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.1.715\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\PAPA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.1.715\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.48\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.86\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref G:\AUTORUN.EXE
delref E:\HONORSUITEONLINEINSTALLER.EXE
delref H:\AUTORUN.EXE
delref K:\AUTORUN.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref D:\ПРОГРАММЫ\GOODBYEDPI-0.2.3RC3-2\1_RUSSIA_BLACKLIST.CMD
;-------------------------------------------------------------
REGT 40
restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Файл ZOO_дата_время.7z добавьте в ваше сообщение.

ZOO* может оказаться большим, в этом случае загрузите файл на облачный диск, и дайте ссылку на скачивание в вашем сообщении.

+

добавьте новые логи FRST для контроля

Изменено 1 час назад пользователем safety