Перейти к содержанию
Правила раздела

Как бороться TROJAN.WIN32.MINER.swyt

VladIvanych

От VladIvanych
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

  • Ответов 37
  • Created
  • Последний ответ

Top Posters In This Topic

  • VladIvanych

    19

  • Sandor

    10

  • regist

    8

  • Mark D. Pearlstone

    1

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\vladivanych\AppData\Roaming\VOPackage\nsl59BA.tmpfs', '');
 QuarantineFile('C:\Users\vladivanych\AppData\Roaming\Browsers\exe.resworb-mooronik.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Driver" /F', 0, 15000, true);
 DeleteFile('C:\Users\vladivanych\AppData\Roaming\VOPackage\nsl59BA.tmpfs', '32');
 DeleteFile('C:\Users\vladivanych\AppData\Roaming\Browsers\exe.resworb-mooronik.bat', '32');
 DeleteService('fizywiqu');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
VladIvanych Новичок

VladIvanych

Опубликовано
  • Автор
Опубликовано

При выполнении скрипта, от интернета отключаться обязательно?


Отчет ClearLNK


Касперский все равно показывает угрозу

Trojan.win32.Miner.swyt

Объект: C:\users\vladivanych\appdata\roaming\1337\vs.exe,

но в папке 1337 нет файла vs.exe, есть f.exe и setup.exe 

ClearLNK-30.09.2017_21-03.log

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

В имени отчета очистки AdwCleaner должен быть символ [C], а не .

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2824608963-1380701995-1774394583-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BDF1CE1B5-EB90-464C-B4AC-778198535DF8%7D&gp=812209
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2824608963-1380701995-1774394583-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=811021
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7BDD5BD083-EF59-4812-A2C7-B716D730D18E%7D&gp=812209
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\vladivanych\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-08-14]
FF Extension: (Поиск@Mail.Ru) - C:\Users\vladivanych\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-08-14]
CHR StartupUrls: DFLTUSER -> "hxxp://mail.ru/cnt/10445?gp=820321"
CHR NewTab: DFLTUSER ->  Not-active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html", Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
S4 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\10.5.15816.217\QMUdisk.sys [X]
2017-10-02 10:08 - 2017-08-14 19:32 - 000000000 ____D C:\Users\Все пользователи\IObit
2017-10-02 10:08 - 2017-08-14 19:32 - 000000000 ____D C:\ProgramData\IObit
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: {08A2A796-8BC9-4C44-B3A6-405C57FD10B4} - \DealPly -> No File <==== ATTENTION
Task: {0ADCE679-89CD-497E-9D6E-41A963320463} - System32\Tasks\Appdistribute Updater Task => C:\Program Files\Common Files\Distribute Application\downloader.exe
Task: {83F1896A-3C03-41B2-A540-A6EA64972B76} - \Safebrowser -> No File <==== ATTENTION
Task: {9BD00770-C8C4-4E22-AA19-007AA618F210} - \Yahoo! Search Udpater -> No File <==== ATTENTION
Task: {E160329C-DBC3-4FF0-8C18-23DA2D48C02E} - \Yahoo! Search -> No File <==== ATTENTION
Task: {E22C7377-A7EA-4402-9E1D-F92C8FCACEE3} - System32\Tasks\ASC8_SkipUac_vladivanych => D:\Program Files\IObit\Advanced SystemCare 8\ASC.exe
AlternateDataStreams: C:\Users\vladivanych\Local Settings:wa [146]
AlternateDataStreams: C:\Users\vladivanych\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\vladivanych\AppData\Local\Application Data:wa [146]
FirewallRules: [mediaget-tcp] => (Allow) C:\Users\vladivanych\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [mediaget-udp] => (Allow) C:\Users\vladivanych\AppData\Local\MediaGet2\mediaget.exe
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Сообщите что с проблемой.

 

И проверьте, пожалуйста, есть ли ярлыки стандартных программ типа Wordpad, Гаджеты и т.п.?

Если есть, нормально ли запускаются?

Ссылка на комментарий
Поделиться на другие сайты
VladIvanych Новичок

VladIvanych

Опубликовано
  • Автор
Опубликовано

Удалены  куки, вся история браузера удалена. Предупреждение об угрозе весит

Ярлыки стандартных программ Paint, блокнот есть. WordPad -нет. Был ли он ранее не помню, не пользовался. 

post-47503-0-93091400-1506944895_thumb.gif

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • NeVoms
      Trojan.Win32.SEPEH
      От NeVoms
      Памогите удалить вирус я сначала удалял через Kasperky но после перезагрузки он не удалялся потом через Kasperky virus removal tool и тоже самое после перезагрузки он не удалялся 
    • Dmitry Axe
      [РЕШЕНО] Trojan.Win32.SEPEH
      От Dmitry Axe
      Добрый день. В последнее время была обнаружена аномальная загрузка ЦП и памяти при очевидном бездействии приложений. Был приобретен и установлен Kaspersky Premium. При проверке был выявлен вирус майнер Trojan.Win32.SEPEH, пойман возможно в начале 2025 года, при каких условиях не совсем понятно. ОС WIN 11 pro 23H2. Также буквально несколько дней назад при попытке скачивания обновления ОС при перезагрузке системы ОС зависла, системы сама вернулась на прошлую версию ОС. При проверке Kaspersky пытается вылечить троян, но при попытке перезагрузки ОС вылетает синее окно с ошибкой. Потом перезапуск, и троян обнаруживатеся по новому. В безопасном режиме ОС также же пробовал удалить трояна - вроде получилось, но при возврате к нормальной версии ОС троян обнаружился снова - видимо идет постоянный анализ и загрузка из вне.  Форум смотрел, но решение такого рода проблем судя по всему индивидуальное и решается либо скриптом, либо переустановкой ОС полной. Прошу помощи.
      CollectionLog-2025.01.20-17.45.zip
    • user01221
      Trojan.Win32.Hosts2.gen
      От user01221
      Решил проверить компьютер Kaspersky Virus Removal Tool, файл не лечится, после удаления появился сноваCollectionLog-2025.02.01-22.57.zip
      CollectionLog-2025.02.01-22.57.zip
    • KL FC Bot
      Защита от спама: как его распознать и как с ним бороться | Блог Касперского
      От KL FC Bot
      «Здравствуйте, это ваш дальний родственник из Нигерии. Дело в том, что я болен смертельной болезнью, другой родни у меня нет, поэтому хочу еще при жизни перечислить вам свое наследство в размере $100 млн», — сообщения с подобным посылом приходили на почту, наверное, каждому пользователю Интернета. Эти письма прозвали «нигерийскими», потому что мошенники представлялись богатыми и состоятельными людьми из Нигерии. Сейчас на смену «богатым нигерийским четвероюродным дядям по маминой линии» приходят фейковые представители банков, онлайн-магазинов, служб доставок и даже президенты.
      Сегодня расскажем про самые популярные виды спама и ответим на вопрос, что делать, если на почту пришел спам.
      Письма от инвесторов, меценатов и прочих богачей
      Это, пожалуй, самый древний и вместе с тем популярный сценарий спама. Даже в 2025 году в почту стучатся всевозможные благодетели, жаждущие отдать свои кровные именно вам. Подобные письма выглядят как под копирку: якобы невероятно богатый человек рассказывает про источник своего богатства, описывает свою проблему и предлагает ее решение. Обо всем по порядку:
      Источником богатства может быть что угодно: наследство, невероятно прибыльный бизнес в далекой стране или даже внезапно обнаруженный криптокошелек с миллионами денег. Проблема тоже вариативна: от смертельной болезни до желания пожертвовать все свои деньги на благотворительность — и сделать это нужно обязательно с вашей помощью. Решение всегда одно — нужно как можно скорее перевести деньги на ваш счет. Конечно, если в ответ на такое письмо вы отправите свои глубочайшие соболезнования и номер банковской карты, то никто не перечислит вам ни миллионы, ни даже тысячи денег. Наоборот, мошенники будут всеми правдами и неправдами вынуждать вас перевести им свои средства. Как вариант, оплатить несуществующую комиссию на перевод их миллионов денег.
      Не стоит верить письму, даже если оно отправлено якобы президентом США. Сейчас спамеры на волне популярности Дональда Трампа запустили новую-старую мошенническую схему: рассылают потенциальным жертвам письма, в которых представляются Дональдом Трампом, почему-то решившим отправить по $15 млн нескольким десяткам счастливчиков по всему миру. Получить миллионы можно, лишь отправив ответное письмо, где фейковый мистер Дональд Трамп попросит перейти по ссылочке и ввести свои банковские данные либо оплатить комиссию за перевод средств на ваш счет.
       
      View the full article
    • rottingcorpse
      [РЕШЕНО] заражение trojan.win32.sepeh и Trojan.Win32.Miner
      От rottingcorpse
      fff.zip
×
×
  • Создать...