[РЕШЕНО] HEUR:Trojan.Win64.Miner.gen. Помогите удалить этот вирус!

[Гюнтер1613]

Добрый день!

Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen

Kaspersky его находит после проверки и просит Лечение с перезагрузкой. После перезагрузки компьютера, всё по новой.
Также говорит об mem:backdoor.win32.insistent.gen

Тоже лечение с перезагрузкой и ничего не меняется.

Заранее большое спасибо!

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[Гюнтер1613]

Сделал все, что было указано в ссылке, логи прикрепил

CollectionLog-2026.01.19-11.24.zip

[Sandor]

Через Параметры - Приложения деинсталлируйте:

Цитата

container assert 5.6.32.495

DriverBooster 5.9.26

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\User\AppData\Local\Programs\171780dada9d\e024f55cce.msi', '');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\xRqDYTNvhKmOFiiYF\idnaRYjsEwHvXrt\OGgibgQ.exe', '');
 QuarantineFile('C:\Users\User\appdata\roaming\drpsu\alice\cloud.exe', '');
 QuarantineFile('C:\Windows\system32\adsiedit.dll', '');
 QuarantineFile('C:\Windows\syswow64\adsiedit.dll', '');
 QuarantineFile('C:\Windows\Temp\EhqtebeeNllEMlaP\krBTUPEICvEQtAk\AripYqg.exe', '');
 DeleteSchedulerTask('bpBMiofdkuRynPLsOG');
 DeleteSchedulerTask('C:\Windows\Task\bpBMiofdkuRynPLsOG.job');
 DeleteSchedulerTask('C:\Windows\Task\HJpRyKtBoBOIWhglR.job');
 DeleteSchedulerTask('HJpRyKtBoBOIWhglR');
 DeleteSchedulerTask('kalpana-karala-S-1-5-21-3517021844-1609726268-3520420563-1002');
 DeleteSchedulerTask('UpdateTorrent');
 DeleteSchedulerTask('witness-swoop');
 DeleteFile('C:\Users\User\AppData\Local\Programs\171780dada9d\e024f55cce.msi', '64');
 DeleteFile('C:\Users\User\AppData\Local\Temp\xRqDYTNvhKmOFiiYF\idnaRYjsEwHvXrt\OGgibgQ.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\xRqDYTNvhKmOFiiYF\idnaRYjsEwHvXrt\OGgibgQ.exe', '64');
 DeleteFile('C:\Users\User\appdata\roaming\drpsu\alice\cloud.exe', '32');
 DeleteFile('C:\Windows\Temp\EhqtebeeNllEMlaP\krBTUPEICvEQtAk\AripYqg.exe', '32');
 DeleteFile('C:\Windows\Temp\EhqtebeeNllEMlaP\krBTUPEICvEQtAk\AripYqg.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

[Гюнтер1613]

Все скрипты сделал, container assert 5.6.32.495 в списке приложений не обнаружил, остальное удалено.

CollectionLog-2026.01.19-12.17.zip

Изменено 19 января пользователем Sandor
Убрал карантин

[Sandor]

Карантин отправьте, пожалуйста, по инструкции.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Гюнтер1613]

Проверил

FRST.txt Addition.txt

[Sandor]

Следующую операцию выполните в безопасном режиме.

 

• Выделите следующий код:

  Start::
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  HKLM\Software\Policies\...\system: [EnableCdp] 0
  HKLM\Software\Policies\...\system: [EnableActivityFeed] 0
  HKLM\Software\Policies\...\system: [PublishUserActivities] 0
  HKLM\Software\Policies\...\system: [UploadUserActivities] 0
  HKLM\Software\Policies\...\system: [RunAsPPL] 0 <==== ВНИМАНИЕ
  HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 <==== ВНИМАНИЕ
  HKLM\Software\Policies\...\system: [SmartScreenEnabled] 0
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] =  <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [User ProfileHttpAcceptLanguageOptOut] => REG ADD "HKCU\Control Panel\International\User Profile" /v "HttpAcceptLanguageOptOut" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [BackgroundAccessApplicationsGlobalUserDisabled] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications" /v "GlobalUserDisabled" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [SearchBackgroundAppGlobalToggle] => REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search" /v "BackgroundAppGlobalToggle" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [FeedsShellFeedsTaskbarViewMode] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Feeds" /v "ShellFeedsTaskbarViewMode" /t REG_DWORD /f /d 2 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [SearchSearchboxTaskbarMode] => REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search" /v "SearchboxTaskbarMode" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [User ProfileHttpAcceptLanguageOptOut] => REG ADD "HKCU\Control Panel\International\User Profile" /v "HttpAcceptLanguageOptOut" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [BackgroundAccessApplicationsGlobalUserDisabled] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications" /v "GlobalUserDisabled" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [SearchBackgroundAppGlobalToggle] => REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search" /v "BackgroundAppGlobalToggle" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [FeedsShellFeedsTaskbarViewMode] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Feeds" /v "ShellFeedsTaskbarViewMode" /t REG_DWORD /f /d 2 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [SearchSearchboxTaskbarMode] => REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search" /v "SearchboxTaskbarMode" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-21-3517021844-1609726268-3520420563-1002\...\Run: [Firefox Browser] => ;C:\Firefox\X-Firefox.exe (Нет файла)
  HKU\S-1-5-21-3517021844-1609726268-3520420563-1002\...\Run: [BatteryCare] => D:\BatteryCare\BatteryCare.exe (Нет файла)
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {13CD1250-CC65-4487-9ABF-692DE83D982B} - System32\Tasks\Driver Booster SkipUAC (User) => C:\Program Files (x86)\IObit\Driver Booster\4.4.0\DriverBooster.exe  /skipuac (Нет файла)
  Task: C:\Windows\Tasks\bpBMiofdkuRynPLsOG.job => C:\Users\User\AppData\Local\Temp\xRqDYTNvhKmOFiiYF\idnaRYjsEwHvXrt\OGgibgQ.exe <==== ВНИМАНИЕ
  Task: C:\Windows\Tasks\HJpRyKtBoBOIWhglR.job => C:\Windows\Temp\EhqtebeeNllEMlaP\krBTUPEICvEQtAk\AripYqg.exe <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3517021844-1609726268-3520420563-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\fibalfbliaiojjmmmagpinacmckhogml
  CHR HKU\S-1-5-21-3517021844-1609726268-3520420563-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  CHR HKU\S-1-5-21-3517021844-1609726268-3520420563-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldfbffgeoopikoigpgjfjdammhpcplch]
  C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\kmmjmaandghcbnaepebebibcgabmmhfh
  2026-01-03 10:08 - 2026-01-03 10:08 - 001256137 _____ C:\Windows\SysWOW64\file657.dat
  2026-01-03 10:08 - 2026-01-03 10:08 - 000339472 _____ (Microsoft Corporation) C:\Windows\SysWOW64\adsiedit.dll
  2026-01-02 23:15 - 2026-01-02 23:15 - 000000000 _RSHD C:\ProgramData\WindowsTask
  2026-01-02 23:15 - 2026-01-02 23:15 - 000000000 _RSHD C:\ProgramData\WindowsTask
  2026-01-02 23:15 - 2026-01-02 23:15 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
  2026-01-02 23:15 - 2026-01-02 23:15 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
  2026-01-02 23:15 - 2026-01-02 23:15 - 000000000 _RSHD C:\ProgramData\Setup
  2026-01-02 23:15 - 2026-01-02 23:15 - 000000000 _RSHD C:\ProgramData\Setup
  2026-01-02 23:15 - 2026-01-02 23:15 - 000000000 _RSHD C:\ProgramData\ReaItekHD
  2026-01-02 23:15 - 2026-01-02 23:15 - 000000000 _RSHD C:\ProgramData\ReaItekHD
  2026-01-02 23:15 - 2026-01-02 23:15 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
  2026-01-02 23:15 - 2026-01-02 23:15 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
  2026-01-02 23:15 - 2026-01-02 23:15 - 000000000 _RSHD C:\Program Files\RDP Wrapper
  2026-01-02 23:15 - 2026-01-02 23:15 - 000000000 _RSHD C:\Program Files (x86)\360
  2025-07-05 11:18 - 2025-11-14 15:57 - 000000970 _____ () C:\Users\User\setup.dat
  2025-11-14 15:58 - 2025-11-14 15:58 - 000000970 _____ () C:\Users\User\uTorrentClient.dat
  C:\Users\User\AppData\Local\Temp\xRqDYTNvhKmOFiiYF
  C:\Windows\Temp\EhqtebeeNllEMlaP
  container assert 5.6.32.495 (HKLM-x32\...\{e09a394f-2e0b-4bf2-a244-cc5b5968f092}) (Version: 5.6.32.495 - Montanari, Bruno e Vitale e figli s.r.l.) Hidden
  FirewallRules: [{4E1676EC-FD6D-4682-9214-9443ED2F84CC}] => (Allow) C:\Users\User\AppData\Local\Temp\beetle-cab\DriverPack\tools\aria2c.exe => Нет файла
  FirewallRules: [{E71BC9B1-E0E9-42C9-A8FF-1D4D8C0FA1D8}] => (Allow) C:\Users\User\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
  FirewallRules: [{63748460-42D6-48C2-B4D8-77B4C660CBB2}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{5A5692A3-A899-4FA8-91B4-369917C18C3F}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{3D904480-FEA5-488C-B009-111DD9C5EC26}] => (Allow) C:\Users\User\AppData\Local\360extremebrowser\Chrome\Application\22.3.5106.64\installer\ceup.exe => Нет файла
  FirewallRules: [{0751B5FC-5B23-4234-A1FF-4CF23864BB87}] => (Allow) C:\Users\User\AppData\Local\360extremebrowser\Chrome\Application\22.3.5106.64\installer\ceup.exe => Нет файла
  FirewallRules: [{2DFD7792-B1F0-41BB-8B10-D615231134A2}] => (Allow) C:\Users\User\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла
  FirewallRules: [{2F83C4F9-AA17-4AE8-9FB0-0EAB74D202B3}] => (Allow) C:\Users\User\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Гюнтер1613]

Сделал

Fixlog.txt

[Sandor]

1 час назад, Гюнтер1613 сказал:

container assert 5.6.32.495 в списке приложений не обнаружил

Теперь должен быть виден. Удалите.

 

Старые логи FRST.txt и Addition.txt удалите в Корзину, соберите и прикрепите новые.

[Гюнтер1613]

Пришлось потрудиться, что бы удалить файл из "приложений" но все хорошо, новые отчеты:

Addition.txt FRST.txt

[Sandor]

Хорошо. Что сейчас с проблемой?

[Гюнтер1613]

Антивирусы больше не ругаются, я думаю все решилось, спасибо большое!

[Sandor]

Отлично! В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Гюнтер1613]

Сделал по инструкции:

SecurityCheck.txt