Обнаружено вредоносное приложение HEUR:Trojan.Win64.Miner.gen

[r4pdj]

Здравствуйте.

Неделю назад поставили Kaspersky Plus по подписке на второй компьютер (до этого несколько месяцев компьютер был без защиты). Обнаружилось 2 вируса. Один внедрён в svhost, другой - отдельное приложение майнер. Пробовали лечить, удалять и всё безрезультатно.

[safety]

+

добавьте, пожалуйста, отчет по обнаружениям и сканированию из Касперского

+

дополнительно сделайте образ автозапуска системы в uVS с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Изменено 7 часов назад пользователем safety

[r4pdj]

PAPAPC_2025-09-13_12-11-28_v5.0.1v x64.7z отчёт1.txt отчёт2.txt отчёт3.txt

[safety]

судя по образу есть процесс с модифицированным кодом и он же нагружает CPU

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\SORT.EXE [15580]

(!) Процесс нагружает CPU: FAKE:C:\WINDOWS\SYSTEM32\SORT.EXE [15580]

и есть внедренные потоки в системный файл:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\SVCHOST.EXE [3204], tid=5812

-------------

Скрипт очистки чуть позже напишу.

[safety]

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\CSAMSP.DLL
zoo %SystemDrive%\USERS\PAPA\APPDATA\LOCAL\PROGRAMS\09B34F58\4FD72E8129.MSI
icsuspend
delfake
dirzooex %SystemDrive%\PROGRAMDATA\ARTISTRYMIXER-FADCB3AE-634C-4C5A-9EA7-E5113F404FC1
delref %SystemRoot%\SYSWOW64\CSAMSP.DLL
del %SystemRoot%\SYSWOW64\CSAMSP.DLL
delall %SystemDrive%\USERS\PAPA\APPDATA\LOCAL\PROGRAMS\09B34F58\4FD72E8129.MSI
delall %SystemDrive%\PROGRAMDATA\LUCK-SOUTHWARD\BIN.EXE
delall %SystemDrive%\PROGRAMDATA\TERRIFY-LUNCH\BIN.EXE
deldirex %SystemDrive%\PROGRAMDATA\ARTISTRYMIXER-FADCB3AE-634C-4C5A-9EA7-E5113F404FC1
;------------------------autoscript---------------------------

apply

regt 27
deltmp
delref %SystemDrive%\PROGRAMDATA\ARTISTRYMIXER-FADCB3AE-634C-4C5A-9EA7-E5113F404FC1\SORT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.117\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.97\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.117\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.117\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.93\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\PAPA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.1.715\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\PAPA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.1.715\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\PAPA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.1.715\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\PAPA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.1.715\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.48\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.80\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.86\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref G:\AUTORUN.EXE
delref E:\HONORSUITEONLINEINSTALLER.EXE
delref H:\AUTORUN.EXE
delref K:\AUTORUN.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref D:\ПРОГРАММЫ\GOODBYEDPI-0.2.3RC3-2\1_RUSSIA_BLACKLIST.CMD
;-------------------------------------------------------------
REGT 40
restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Файл ZOO_дата_время.7z добавьте в ваше сообщение.

ZOO* может оказаться большим, в этом случае загрузите файл на облачный диск, и дайте ссылку на скачивание в вашем сообщении.

+

добавьте новые логи FRST для контроля

Изменено 6 часов назад пользователем safety

[r4pdj]

файл ZOO https://dropmefiles.com/zB2an

2025-09-13_15-25-56_log.txt Addition.txt FRST.txt

[safety]

эта dll SAMSP.DLL

управляет процессом загрузки и запуска майнера.

DrWeb Trojan.Loader.1907

ESET-NOD32 A Variant Of Win32/ShellcodeRunner.PI

Kaspersky Undetected

https://www.virustotal.com/gui/file/8478b14a011def681b3f9fc5aaaf54b7fa2d0e1fbfa9598cb17a5862fc17a6c2?nocache=1

 

в логах FRST этой dll уже нет

-----------

Изменено 3 часа назад пользователем safety

[safety]

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge DefaultSearchURL: Default -> hxxps://xfinder.pro/q?q={searchTerms}
Edge DefaultSearchKeyword: Default -> xfinder.pro
Edge DefaultSuggestURL: Default -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms}
C:\Users\papa\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR Notifications: Default -> hxxps://flightradar24.com.ru
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\papa\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
2025-09-06 16:11 - 2025-06-04 08:39 - 000000000 __SHD C:\ProgramData\GameDeveloper4D-229253ab-4cbb-4144-902a-af607763c381
2025-09-06 16:10 - 2025-08-06 10:22 - 000000000 __SHD C:\ProgramData\BeatInventor-8d140875-5d73-41f0-bb45-371426e9bc08
2025-09-06 16:10 - 2025-07-06 03:49 - 000000000 __SHD C:\ProgramData\ArchiveInspector-7bfc5153-719d-4c9a-b180-f5f753d57241
2025-06-03 23:05 C:\Program Files\RDP Wrapper
2025-06-03 23:05 C:\Program Files (x86)\360
2025-06-03 23:05 C:\ProgramData\RDP Wrapper
2025-06-03 23:05 C:\ProgramData\ReaItekHD
2025-06-03 23:05 C:\ProgramData\Setup
2025-06-03 23:05 C:\ProgramData\Windows Tasks Service
2025-06-03 23:05 C:\ProgramData\WindowsTask
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите по состоянию системы после очистки в uVS и FRST

[r4pdj]

Спасибо вам! Больше ничего не появлялось и компьютер стал реагировать быстрее. Результат уже был после очистки в uVS, сейчас ещё сделал в FRST, вот лог

Fixlog.txt

[safety]

Хорошо,

если других проблем или вопросов в работе системы не наблюдается:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

[r4pdj]

SecurityCheck.txt

[safety]

По возможности обновите данное ПО:

 

Microsoft Office Professional Plus 2019 - en-us v.16.0.10417.20042 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10417.20042 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления

µTorrent v.3.6.0.47222 Внимание! Клиент сети P2P с рекламным модулем!
-------------------------------- [ Media ] --------------------------------
foobar2000 v2.24.1 (x64) v.2.24.1 Внимание! Скачать обновления
K-Lite Codec Pack 18.6.0 Full v.18.6.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Macromedia Flash Player 8 v.8 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

 

 

Изменено 1 час назад пользователем safety

[r4pdj]

Спасибо!👍