Обнаружена активная вредоносная программа HEUR:Trojan.Win32.Miner.pef и MEM:Trojan.Win32.SEPEH.gen

[Holtzmann611]

Столкнулась с такой проблемой сегодня, и уже не знаю, что мне делать. Dr.Web вроде и анализ делал, и обезвредить пытался, но предупреждение о майнере есть до сих пор.

CollectionLog-2025.11.05-21.41.zip

Изменено 5 ноября пользователем Holtzmann611

[thyrex]

Цитата

IObit Malware Fighter 10

SpyHunter 5

Кнопка "Яндекс" на панели задач

удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Holtzmann611]

Удалила все перечисленные программы через Панель управления. Вот архив. Пока-что Касперский не ругается, но в Обнаруженные объекты до сих пор висят старые угрозы 

Addition and FRST.rar

Изменено 5 ноября пользователем Holtzmann611

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2113326075-1574533136-3375963692-1001\...\Run: [Joxi] => [X]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AdsPower.lnk [2025-05-03]
ShortcutTarget: AdsPower.lnk -> D:\Programs\AdsPower\AdsPower Global\AdsPower.exe (Нет файла)
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {ABB54F2B-20CB-43D1-86F1-66508F6B5DAA} - System32\Tasks\BlueStacksHelper_nxt => C:\Program Files\BlueStacks_nxt\BlueStacksHelper.exe  -sr (Нет файла)
Task: {DADEA68E-D3FA-42AA-9E86-DB713F61EF5C} - System32\Tasks\IObit BF2025Sale (One-time) => "D:\Programs\IObit Malware Fighter\pub\Bf25.exe"  -> D:\Programs\IObit Malware Fighter\pub\\/rpop
Task: {96A52A4C-E17E-4887-83F8-58B2040F5B0C} - System32\Tasks\MagicMic => "D:\Programs\iMyFone MagicMic\MagicMic.exe"  (Нет файла)
Task: {BE11E779-2583-404B-B518-C2A1949DDA7F} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask => %windir%\System32\RemoteFXvGPUDisablement.exe  Disable (Нет файла)
Task: {F00F0528-C4AA-4195-81FE-8AA3C0D007A5} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask => %windir%\System32\RemoteFXvGPUDisablement.exe  Warning (Нет файла)
Task: {123DDB91-C61F-4B48-98F5-CF76A82ADE66} - System32\Tasks\SoundBot => "D:\Programs\WooTechy SoundBot\SoundBot.exe"  (Нет файла)
Task: {A6C74542-8C68-4E70-9F92-07914833A462} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
FF HKLM\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
FF HKLM-x32\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2025-05-16] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1534976 2025-07-11] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [583168 2025-05-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [434176 2025-07-11] (Microsoft Windows -> Microsoft Corporation)
S2 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3441152 2025-07-11] (Microsoft Windows -> Microsoft Corporation)
S3 cpuz154; \??\C:\WINDOWS\temp\cpuz154\cpuz154_x64.sys [X] <==== ВНИМАНИЕ
S3 DD94687; \??\C:\DD94687.sys [X]
S3 IMFForceDelete123; \??\D:\Programs\IObit Malware Fighter\drivers\win10_amd64\IMFForceDelete.sys [X]
U4 RLM-BorisFX; отсутствует ImagePath
S3 wtbt; \??\d:\steam\steamapps\common\super people\engine\binaries\thirdparty\wondertrust\wtdrv64.sys [X]
2025-11-05 21:43 - 2025-11-05 21:43 - 000000000 ____D C:\ProgramData\tfkxupgodbpx
ContextMenuHandlers1: [Joxi] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
ContextMenuHandlers6: [Joxi] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
C:\Users\User\Desktop\тайская сауна.lnk
AlternateDataStreams: C:\WINDOWS\System32:tdsrinu.gfc [5882]
AlternateDataStreams: C:\WINDOWS\Temp:A96ECA9E [98]
AlternateDataStreams: C:\WINDOWS\Temp:DeviceUUID [64]
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyqfh [0]
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOOT.lnk:B021ADA33C [10]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\Application Data:c7637b1ddf4ebe3cea300c7598738ba3 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:c7637b1ddf4ebe3cea300c7598738ba3 [394]
FirewallRules: [TCP Query User{F73AD933-05E9-44A3-B73C-65C7090EFDFE}D:\steam\steamapps\common\saints row\sr5\saintsrow_dx12.exe] => (Allow) D:\steam\steamapps\common\saints row\sr5\saintsrow_dx12.exe => Нет файла
FirewallRules: [UDP Query User{92C617B5-6DF4-4CF4-B647-AA9F9A314A80}D:\steam\steamapps\common\saints row\sr5\saintsrow_dx12.exe] => (Allow) D:\steam\steamapps\common\saints row\sr5\saintsrow_dx12.exe => Нет файла
FirewallRules: [{4AE11DD8-7AC1-4355-AB7A-F12CC1847359}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{3B6CE3A4-5EC2-4117-9731-AE843F7E9017}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{07401D8D-2138-49C5-BF2A-D838226B64B0}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{ACA11A8A-7F6B-4EDA-B8F8-62385DCE8981}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{751C5681-BBFB-478C-AB2A-3BC25F2298BC}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{AEEA786C-E647-45A3-84F8-C5CC92A65FA0}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{E9F65E4F-D62D-4253-886D-CAAF8E0A1FF6}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{49896A09-728E-452A-A2AC-8515D894CF87}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

[Holtzmann611]

Произвела все указанные манипуляции. Прикладываю Fixlog

Fixlog.txt

[thyrex]

Очистите отчеты антивируса с найденными угрозами, запустите полную проверку и дождитесь её окончания.

 

Что сейчас с проблемой?