Обнаружена активная вредоносная программа HEUR:Trojan.Win32.Miner.pef

[volanchics]

Сегодня Касперский выдал такое сообщение: Обнаружена активная вредоносная программа HEUR:Trojan.Win32.Miner.pef

Всплывает вот такое окно. Нажимаю Вылечить, пишет - удалено. Но через пару секунд всё повторяется. А чуть позже стало появляться еще и вот такое сообщение.. Как убрать этот вирус?

Изменено Четверг в 12:13 пользователем volanchics

[safety]

добавьте, пожалуйста, отчет по обнаружениям и сканированию из Касперского

+

дополнительно сделайте образ автозапуска системы в uVS с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[volanchics]

DESKTOP-DNAP0UE_2025-09-19_21-27-12_v5.0.1v x64.7z DESKTOP-DNAP0UE_2025-09-19_21-27-12_v5.0.1v x64.7z

Изменено вчера в 01:18 пользователем safety

[safety]

Нужен так же отчет (в виде текстового файла) из антивируса Касперского по обнаружению угроз и сканированию.

 

Отслеживание процессов и задач не включено.

 

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.
 

Изменено вчера в 06:21 пользователем safety

[volanchics]

отчет.txt

[safety]

Цитата

Вчера, 19.09.2025 21:08:58    System Memory    Не обработано    Лечение невозможно    MEM:Trojan.Win32.SEPEH.gen    Пропущено    Файл        System Memory    Не обработано    Троянская программа    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

Вчера, 19.09.2025 21:07:17    C:\ProgramData\hyuquvptxedo\dxjtezwxmhw.exe    Не обработано    Лечение невозможно    HEUR:Trojan.Win32.Miner.pef    Отложено    Файл    C:\ProgramData\hyuquvptxedo    dxcjtezwxmhw.exe    Не обработано    Троянская программа    Высокая    Эвристический анализ    DESKTOP-DNAP0UE\fatku    Активный пользователь

 

и образ автозапуска  переделайте с отслеживанием процессов и задач

Изменено вчера в 11:08 пользователем safety

[volanchics]

DESKTOP-DNAP0UE_2025-09-21_16-38-51_v5.0.1v x64.7z

[safety]

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
setdns ПОДКЛЮЧЕНИЕ ПО ЛОКАЛЬНОЙ СЕТИ\4\{BB0DAFD0-243A-49AD-90F9-652558380FDC}\8.8.8.8,8.8.4.4
;------------------------autoscript---------------------------

delref WDE:\.EXE
delref %SystemDrive%\PROGRAMDATA
delref %Sys32%\CONFIG\SYSTEMPROFILE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\24.1.3.809\SERVICE_UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT ONEDRIVE\25.015.0126.0002\ONEDRIVELAUNCHER.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\YANDEX/BOOK_READER\BOOKREADER
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
;-------------------------------------------------------------

restart
regt 40

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено 3 часа назад пользователем safety

[volanchics]

2025-09-21_19-02-20_log.txt

FRST.txt Addition.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\fatku\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npdpplbicnmpoigidfdjadamgfkilaak
2025-09-18 18:35 - 2025-09-19 21:09 - 000000000 ____D C:\ProgramData\hyuquvptxedo
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.