[РЕШЕНО] Обнаружена активная вредоносная программа HEUR:Trojan.Win32.Miner.pef

[volanchics]

Сегодня Касперский выдал такое сообщение: Обнаружена активная вредоносная программа HEUR:Trojan.Win32.Miner.pef

Всплывает вот такое окно. Нажимаю Вылечить, пишет - удалено. Но через пару секунд всё повторяется. А чуть позже стало появляться еще и вот такое сообщение.. Как убрать этот вирус?

Изменено 18 сентября пользователем volanchics

[safety]

добавьте, пожалуйста, отчет по обнаружениям и сканированию из Касперского

+

дополнительно сделайте образ автозапуска системы в uVS с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[volanchics]

DESKTOP-DNAP0UE_2025-09-19_21-27-12_v5.0.1v x64.7z DESKTOP-DNAP0UE_2025-09-19_21-27-12_v5.0.1v x64.7z

Изменено 19 сентября пользователем safety

[safety]

Нужен так же отчет (в виде текстового файла) из антивируса Касперского по обнаружению угроз и сканированию.

 

Отслеживание процессов и задач не включено.

 

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.
 

Изменено 19 сентября пользователем safety

[volanchics]

отчет.txt

[safety]

Цитата

Вчера, 19.09.2025 21:08:58    System Memory    Не обработано    Лечение невозможно    MEM:Trojan.Win32.SEPEH.gen    Пропущено    Файл        System Memory    Не обработано    Троянская программа    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

Вчера, 19.09.2025 21:07:17    C:\ProgramData\hyuquvptxedo\dxjtezwxmhw.exe    Не обработано    Лечение невозможно    HEUR:Trojan.Win32.Miner.pef    Отложено    Файл    C:\ProgramData\hyuquvptxedo    dxcjtezwxmhw.exe    Не обработано    Троянская программа    Высокая    Эвристический анализ    DESKTOP-DNAP0UE\fatku    Активный пользователь

 

и образ автозапуска  переделайте с отслеживанием процессов и задач

Изменено 19 сентября пользователем safety

[volanchics]

DESKTOP-DNAP0UE_2025-09-21_16-38-51_v5.0.1v x64.7z

[safety]

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
setdns ПОДКЛЮЧЕНИЕ ПО ЛОКАЛЬНОЙ СЕТИ\4\{BB0DAFD0-243A-49AD-90F9-652558380FDC}\8.8.8.8,8.8.4.4
;------------------------autoscript---------------------------

delref WDE:\.EXE
delref %SystemDrive%\PROGRAMDATA
delref %Sys32%\CONFIG\SYSTEMPROFILE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\24.1.3.809\SERVICE_UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT ONEDRIVE\25.015.0126.0002\ONEDRIVELAUNCHER.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\YANDEX/BOOK_READER\BOOKREADER
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
;-------------------------------------------------------------

restart
regt 40

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено 20 сентября пользователем safety

[volanchics]

2025-09-21_19-02-20_log.txt

FRST.txt Addition.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\fatku\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npdpplbicnmpoigidfdjadamgfkilaak
2025-09-18 18:35 - 2025-09-19 21:09 - 000000000 ____D C:\ProgramData\hyuquvptxedo
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[volanchics]

2025-09-21_19-02-20_log.txt

https://disk.yandex.ru/d/yT1DTkQOqEVBkg

Fixlog.txt

[safety]

сделайте новую проверку в антивирусе Касперском, и добавьте новый отчет (в txt формате) по обнаружениям и сканированию. В архиве, без пароля.

[volanchics]

В 23.09.2025 в 13:44, safety сказал:

сделайте новую проверку в антивирусе Касперском, и добавьте новый отчет (в txt формате) по обнаружениям и сканированию. В архиве, без пароля.

 

проверка.rar

[safety]

Ясно откуда ноги майнера растут:

Цитата

Сегодня, 24.09.2025 20:26:02    C:\Users\fatku\Downloads\Telegram Desktop\Adobe-Photoshop-2025.zip\Setup.exe    Удалено    Объект удален    HEUR:Trojan.Win32.Miner.pef        Файл    C:\Users\fatku\Downloads\Telegram Desktop\Adobe-Photoshop-2025.zip//    Setup.exe    Удалено    Троянская программа    Высокая    Эвристический анализ    DESKTOP-DNAP0UE\fatku    Активный пользователь
Сегодня, 24.09.2025 20:25:47    C:\Users\fatku\Downloads\Telegram Desktop\Adobe-Photoshop-2025.zip    Создана резервная копия    Создана резервная копия объекта    HEUR:Trojan.Win32.Miner.pef        Файл    C:\Users\fatku\Downloads\Telegram Desktop    Adobe-Photoshop-2025.zip    Создана резервная копия    Троянская программа    Высокая    Эвристический анализ    DESKTOP-DNAP0UE\fatku    Активный пользователь

архив с фотошопом содержит майнер, в случае повторной установки, будет новое заражение. На текущий момент активного заражения нет.

 

Если других вопросов и проблем в работе системы не осталось:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

[volanchics]

SecurityCheck.txt