Перейти к содержанию
Правила раздела

[РЕШЕНО] Обнаружена активная вредоносная программа HEUR:Trojan.Win32.Miner.pef

volanchics

Автор volanchics
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

volanchics

volanchics

Опубликовано
Опубликовано (изменено)

Сегодня Касперский выдал такое сообщение: Обнаружена активная вредоносная программа HEUR:Trojan.Win32.Miner.pef

Всплывает вот такое окно. Нажимаю Вылечить, пишет - удалено. Но через пару секунд всё повторяется. А чуть позже стало появляться еще и вот такое сообщение.. Как убрать этот вирус?

Снимок экрана 2025-09-19 205935.png

Снимок экрана 2025-09-19 211130.png

Изменено пользователем volanchics
safety

safety

Опубликовано
Опубликовано

добавьте, пожалуйста, отчет по обнаружениям и сканированию из Касперского

+

дополнительно сделайте образ автозапуска системы в uVS с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

safety

safety

Опубликовано
Опубликовано (изменено)

Нужен так же отчет (в виде текстового файла) из антивируса Касперского по обнаружению угроз и сканированию.

 

Отслеживание процессов и задач не включено.

image.png

 

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.
 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

Вчера, 19.09.2025 21:08:58    System Memory    Не обработано    Лечение невозможно    MEM:Trojan.Win32.SEPEH.gen    Пропущено    Файл        System Memory    Не обработано    Троянская программа    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

Вчера, 19.09.2025 21:07:17    C:\ProgramData\hyuquvptxedo\dxjtezwxmhw.exe    Не обработано    Лечение невозможно    HEUR:Trojan.Win32.Miner.pef    Отложено    Файл    C:\ProgramData\hyuquvptxedo    dxcjtezwxmhw.exe    Не обработано    Троянская программа    Высокая    Эвристический анализ    DESKTOP-DNAP0UE\fatku    Активный пользователь

 

и образ автозапуска  переделайте с отслеживанием процессов и задач

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
setdns ПОДКЛЮЧЕНИЕ ПО ЛОКАЛЬНОЙ СЕТИ\4\{BB0DAFD0-243A-49AD-90F9-652558380FDC}\8.8.8.8,8.8.4.4
;------------------------autoscript---------------------------

delref WDE:\.EXE
delref %SystemDrive%\PROGRAMDATA
delref %Sys32%\CONFIG\SYSTEMPROFILE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\24.1.3.809\SERVICE_UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT ONEDRIVE\25.015.0126.0002\ONEDRIVELAUNCHER.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\YANDEX/BOOK_READER\BOOKREADER
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
;-------------------------------------------------------------

restart
regt 40

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\fatku\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npdpplbicnmpoigidfdjadamgfkilaak
2025-09-18 18:35 - 2025-09-19 21:09 - 000000000 ____D C:\ProgramData\hyuquvptxedo
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

safety

safety

Опубликовано
Опубликовано

сделайте новую проверку в антивирусе Касперском, и добавьте новый отчет (в txt формате) по обнаружениям и сканированию. В архиве, без пароля.

volanchics

volanchics

Опубликовано
  • Автор
Опубликовано
В 23.09.2025 в 13:44, safety сказал:

сделайте новую проверку в антивирусе Касперском, и добавьте новый отчет (в txt формате) по обнаружениям и сканированию. В архиве, без пароля.

 

проверка.rar

safety

safety

Опубликовано
Опубликовано

Ясно откуда ноги майнера растут:

Цитата

Сегодня, 24.09.2025 20:26:02    C:\Users\fatku\Downloads\Telegram Desktop\Adobe-Photoshop-2025.zip\Setup.exe    Удалено    Объект удален    HEUR:Trojan.Win32.Miner.pef        Файл    C:\Users\fatku\Downloads\Telegram Desktop\Adobe-Photoshop-2025.zip//    Setup.exe    Удалено    Троянская программа    Высокая    Эвристический анализ    DESKTOP-DNAP0UE\fatku    Активный пользователь
Сегодня, 24.09.2025 20:25:47    C:\Users\fatku\Downloads\Telegram Desktop\Adobe-Photoshop-2025.zip    Создана резервная копия    Создана резервная копия объекта    HEUR:Trojan.Win32.Miner.pef        Файл    C:\Users\fatku\Downloads\Telegram Desktop    Adobe-Photoshop-2025.zip    Создана резервная копия    Троянская программа    Высокая    Эвристический анализ    DESKTOP-DNAP0UE\fatku    Активный пользователь

архив с фотошопом содержит майнер, в случае повторной установки, будет новое заражение. На текущий момент активного заражения нет.

 

Если других вопросов и проблем в работе системы не осталось:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Матвей_123
      Вирус после использования KMS Auto
      Автор Матвей_123
      Вирус в папке ProgramData, создает папку qhpxndiguijf. Началось после того, как хотел полноCollectionLog-2025.09.25-12.14.zipCollectionLog-2025.09.25-12.14.zipстью удалить старый офис на ноутбуке через KMS Auto. Файл логов прикладываю. Помогите, пожалуйста, ноутбук рабочий, не могу полностью сносить виндовс, заранее спасибо
    • EvgeniyPoluchil
      DPC:PowerShell.AVKILL.10
      Автор EvgeniyPoluchil
      Здравствуйте, dr.web начал находить каждые 10-15 секунд угрозу под названием DPC:PowerShell.AVKILL.10, при этом иногда в уведомлении появляется некий троян и сразу же исчезает. Дополнительно было замечено, что подгрузка при включении аппарата увеличилась, так и с ОЗУ.CollectionLog-2025.09.25-00.00.zip
    • Fiadosiy
      вирус
      Автор Fiadosiy
      поймал вирус, жрет процессор а ДЗ не показывается думал на майнер доктор вроде удалил антивирусники не видят но запускаются 
       
      CollectionLog-2025.09.23-17.39.zip
    • per4ik
      label.exe - утилита метки диска грузит видеокарту
      Автор per4ik
      заметил повышение температуры на процессоре, и нагрузку на видеокарте, открыл диспетчер задач и заметил процесс label.exe. Снял задачу и резко упала температура с нагрузкой.
      скорее всего майнер, антивирус не видит, подскажите как можно решить проблему.
      Прикрепляю логи
      CollectionLog-2025.09.20-20.29.zip
    • LaVVINa
      Подселился Trojan.Packed2.49814. Восстанавливается сам, не смогла удалить
      Автор LaVVINa
      Добрый день! 
      Либо через расширения для хрома, либо через игры с торрента занесла вирус. Неймингуется Trojan.Packed2.49814
      Через безопасный режим виндовс не убирается, возвращается.
      Помогите, пожалуйста, убрать его 🙏
      CollectionLog-2025.09.19-21.18.zip
×
×
  • Создать...