Не получается удалить Trojan.Siggen31.46344

[Константин_grhok]

Изначально, вчера на своём компьютере обнаружил вирус Tool.btcmine.2714 с помощью dr web cureit. Удалил его и выключил компьютер, также отрубил интернет на всякий случай. Сегодня сутра проснулся и решил проверить пк снова, tool.btcmine.2714 уже не было, но появился некий Trojan.Siggen31.46344. Его я также попытался удалить \ вылечить. Но при перезагрузке ПК вирус остаётся на месте. Что делать? И связано ли это CollectionLog-2025.09.15-09.08.zipкак то с tool.btcmine.2714?

По инструкции прикрепил логи.

[Константин_grhok]

34 минуты назад, Константин_grhok сказал:

Изначально, вчера на своём компьютере обнаружил вирус Tool.btcmine.2714 с помощью dr web cureit. Удалил его и выключил компьютер, также отрубил интернет на всякий случай. Сегодня сутра проснулся и решил проверить пк снова, tool.btcmine.2714 уже не было, но появился некий Trojan.Siggen31.46344. Его я также попытался удалить \ вылечить. Но при перезагрузке ПК вирус остаётся на месте. Что делать? И связано ли это CollectionLog-2025.09.15-09.08.zipкак то с tool.btcmine.2714?

По инструкции прикрепил логи.

Обьект: app.dll             Путь: C:\Users\Kostya\AppData\Local\Temp\2ZvUszGBODCz5KZzRQ7mSDo50rn\resources\app.asar.unpacked\dist\electron\assets\app.dll

[Sandor]

Здравствуйте!

 

Замечание: логи собраны устаревшей версией Автологера. Лечащие утилиты часто обновляются, поэтому старайтесь скачивать актуальные.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\kostya\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe');
 TerminateProcessByName('c:\users\kostya\appdata\roaming\utorrent\utorrentweb.exe');
 QuarantineFile('c:\users\kostya\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe', '');
 QuarantineFile('c:\users\kostya\appdata\roaming\utorrent\utorrentweb.exe', '');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('UpdateTorrent');
 DeleteFile('c:\users\kostya\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe', '');
 DeleteFile('c:\users\kostya\appdata\roaming\utorrent\utorrentweb.exe', '');
 DeleteFile('C:\Users\Kostya\AppData\Roaming\utorrent\UtorrentWeb.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kostya', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kostya', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова свежий AutoLogger. Прикрепите новый CollectionLog.

 

[Константин_grhok]

2 часа назад, Sandor сказал:

Здравствуйте!

 

Замечание: логи собраны устаревшей версией Автологера. Лечащие утилиты часто обновляются, поэтому старайтесь скачивать актуальные.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\kostya\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe');
 TerminateProcessByName('c:\users\kostya\appdata\roaming\utorrent\utorrentweb.exe');
 QuarantineFile('c:\users\kostya\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe', '');
 QuarantineFile('c:\users\kostya\appdata\roaming\utorrent\utorrentweb.exe', '');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('UpdateTorrent');
 DeleteFile('c:\users\kostya\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe', '');
 DeleteFile('c:\users\kostya\appdata\roaming\utorrent\utorrentweb.exe', '');
 DeleteFile('C:\Users\Kostya\AppData\Roaming\utorrent\UtorrentWeb.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kostya', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kostya', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова свежий AutoLogger. Прикрепите новый CollectionLog.

 

Загрузил новый лог. По поводу версии — я качал с сайта hxxps://autologger.ru/

CollectionLog-2025.09.15-12.41.zip

Изменено 7 часов назад пользователем Sandor
Убрал активную ссылку на ложный сайт

[Sandor]

В наших правилах такого сайта нет.

Вот правильная ссылка:

https://safezone.cc/resources/autologger-regist-drongo.59/

+

Не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

[Константин_grhok]

Скинул лог из новой версии. Нужно ли в новой версии снова запускать скрипт что вы скинули?

CollectionLog-2025.09.15-13.02.zip

[Sandor]

Спасибо! Снова запускать скрипт не нужно. Утилитой HiJackThis из новой папки Автологера сделайте:

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O26-32 - Office Addin: HKLM\..\ESET.OutlookAddin - (ESET Outlook Add-in) -> (no file)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - Account: (RDP Group) User 'John' is a member of Remote desktop group
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe

Перезагрузите компьютер.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

[Константин_grhok]

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1276595641-70118687-608077359-1001\...\MountPoints2: {8255f7e3-9e06-11ec-b22a-18c04def5baa} - "F:\setup.exe" 
  HKU\S-1-5-21-1276595641-70118687-608077359-1001\...\MountPoints2: {d7f67ee2-3bb0-11ef-b676-806e6f6e6963} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-1276595641-70118687-608077359-1001\...\MountPoints2: {ff8f870a-09d5-11ee-b490-ac7deba79d9c} - "E:\AutoRun.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  C:\Users\Kostya\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\adejhkgdjioiannjgfglljoopbkihfgg
  C:\Users\Kostya\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm
  C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Default\Extensions\baeijkncbeakfndflpmoocnlefjefngo
  C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Default\Extensions\ohainihilgojggphfdfhanacdapeokml
  C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\hcidjpebmdbielhakekkecimenebhocd
  C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\amcjpdiefmhplokejfgcincodlbcifhd
  C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  CHR HKU\S-1-5-21-1276595641-70118687-608077359-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  2024-09-22 16:11 - 2024-09-27 20:57 - 000000343 _____ () C:\ProgramData\temp_Delete.bat
  2024-09-22 16:11 - 2024-09-27 20:57 - 000000096 _____ () C:\ProgramData\temp_runbat.vbs
  2025-07-27 00:22 - 2025-07-27 00:22 - 000000599 _____ () C:\Users\Kostya\setup.dat
  2024-05-16 23:51 C:\Program Files\AVAST Software
  2024-05-16 23:51 C:\Program Files\AVG
  2024-05-16 23:51 C:\Program Files\Bitdefender Agent
  2024-05-16 23:51 C:\Program Files\ByteFence
  2024-05-16 23:51 C:\Program Files\Cezurity
  2024-05-16 23:51 C:\Program Files\COMODO
  2024-05-16 23:51 C:\Program Files\DrWeb
  2024-05-16 23:51 C:\Program Files\Enigma Software Group
  2024-05-16 23:51 C:\Program Files\EnigmaSoft
  2024-05-16 23:51 C:\Program Files\ESET
  2024-05-16 23:51 C:\Program Files\HitmanPro
  2024-05-16 23:51 C:\Program Files\Loaris Trojan Remover
  2024-05-16 23:51 C:\Program Files\Malwarebytes
  2024-05-16 23:51 C:\Program Files\NETGATE
  2024-05-16 23:51 C:\Program Files\Process Hacker 2
  2024-05-16 23:51 C:\Program Files\Process Lasso
  2024-05-16 23:51 C:\Program Files\QuickCPU
  2024-05-16 23:51 C:\Program Files\Rainmeter
  2024-05-16 23:51 C:\Program Files\Ravantivirus
  2024-05-16 23:51 C:\Program Files\RogueKiller
  2024-05-16 23:51 C:\Program Files\SpyHunter
  2024-05-16 23:51 C:\Program Files\SUPERAntiSpyware
  2024-05-16 23:51 C:\Program Files\Transmission
  2024-05-16 23:51 C:\Program Files (x86)\360
  2024-05-16 23:51 C:\Program Files (x86)\AVAST Software
  2024-05-16 23:51 C:\Program Files (x86)\AVG
  2024-05-16 23:51 C:\Program Files (x86)\Cezurity
  2024-05-16 23:51 C:\Program Files (x86)\GPU Temp
  2024-05-16 23:51 C:\Program Files (x86)\GRIZZLY Antivirus
  2024-05-16 23:51 C:\Program Files (x86)\Microsoft JDX
  2024-05-16 23:51 C:\Program Files (x86)\Moo0
  2024-05-16 23:51 C:\Program Files (x86)\Panda Security
  2022-10-21 22:45 C:\Program Files (x86)\SpeedFan
  2024-05-16 23:51 C:\Program Files (x86)\SpyHunter
  2024-05-16 23:51 C:\Program Files (x86)\Transmission
  2024-05-16 23:54 C:\Program Files\Common Files\AV
  2024-05-16 23:51 C:\Program Files\Common Files\Doctor Web
  2024-05-16 23:51 C:\Program Files\Common Files\McAfee
  2024-05-16 23:51 C:\ProgramData\360safe
  2024-05-16 23:51 C:\ProgramData\AVAST Software
  2024-05-16 23:51 C:\ProgramData\Avira
  2024-05-16 23:51 C:\ProgramData\BookManager
  2022-09-30 20:33 C:\ProgramData\Doctor Web
  2024-05-16 23:51 C:\ProgramData\ESET
  2024-05-16 23:51 C:\ProgramData\Evernote
  2024-05-16 23:51 C:\ProgramData\FingerPrint
  2024-05-16 23:51 C:\ProgramData\grizzly
  2024-05-16 23:51 C:\ProgramData\McAfee
  2024-03-24 14:44 C:\ProgramData\Norton
  2024-05-16 23:51 C:\ProgramData\princeton-produce
  2024-05-16 23:51 C:\ProgramData\PuzzleMedia
  2024-05-16 23:51 C:\ProgramData\RobotDemo
  2024-05-16 23:51 C:\ProgramData\WavePad
  2024-05-16 23:51 C:\Users\Kostya\AppData\Roaming\Sysfiles
  AV: ESET Security (Enabled - Up to date) {DF8BEACB-94C9-218A-73AD-A78362A8C516}
  AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  AV: ESET Security (Enabled - Up to date) {26E0861C-6FB9-CEF9-E4F0-531986211ACE}
  FW: Kaspersky (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  FW: ESET Файервол (Enabled) {E7B06BEE-DEA6-20D2-58F2-0EB69C7B826D}
  FW: ESET Файервол (Enabled) {1EDB0739-25D6-CFA1-CFAF-FA2C78F25DB5}
  ContextMenuHandlers1: [Kaspersky Plus 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
  ContextMenuHandlers2: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> Нет файла
  ContextMenuHandlers2: [Kaspersky Plus 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
  ContextMenuHandlers4: [Kaspersky Plus 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
  ContextMenuHandlers6: [Kaspersky Plus 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
  AlternateDataStreams: C:\Users\Kostya:Heroes & Generals [38]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [872]
  AlternateDataStreams: C:\Users\Kostya\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Kostya\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Kostya\Application Data:NT2 [872]
  AlternateDataStreams: C:\Users\Kostya\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Kostya\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Kostya\AppData\Roaming:NT2 [872]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8892]
  FirewallRules: [{153A70C3-52E5-4171-9E9F-A8230533BBDA}] => (Allow) LPort=2869
  FirewallRules: [{0828AB7F-C06F-44E9-82DE-E42D86C2C6CC}] => (Allow) LPort=1900
  FirewallRules: [{C632B3C9-DA9F-4F09-8677-76B529AA60FD}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{5B722CA8-FA5F-4E4B-B61E-3392606C8337}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{99B2626D-F527-4FA1-BEDF-8308C345C341}] => (Block) LPort=445
  FirewallRules: [{6A51FC24-3CA7-4CBB-AFD4-EF4B08AB7E7C}] => (Block) LPort=445
  FirewallRules: [{07315864-7C53-4D8F-B071-934AA9F12ABE}] => (Block) LPort=139
  FirewallRules: [{9251BB14-0ECB-436B-B829-6B027F4273B8}] => (Block) LPort=139
  FirewallRules: [{52C8B54A-376D-4030-946A-61F40C8F6003}] => (Allow) LPort=3389
  cmd: ipconfig /flushdns
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Константин_grhok]

Fixlog.txt

[Sandor]

Хорошо. Ещё такую операцию выполните.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

[Константин_grhok]

AV_block_remove_2025.09.15-14.21.log

[Sandor]

Хорошо. Что в итоге с проблемой?

[Константин_grhok]

Угроз не обнаружено как говорит Dr Web Cureit. Значит ли это что всё хорошо? Не спрятался ли где то Tool.btcmine.2714 или Trojan.Siggen31.46344?

Я просто в этом всём вообще почти не разбираюсь, особенно касаемо логов и тп в компьютере

Изменено 5 часов назад пользователем Константин_grhok

[Sandor]

Для верности сделаем ещё одну проверку с помощью KVRT.