Перейти к содержанию

[РЕШЕНО] Помогите удалить Trojan.Win64.Miner.gen пожалуйста!


Рекомендуемые сообщения

путь С:\ProgramData\Flock\Flock.exe пытался удалить способами через ютуб нечего не помогло! пытался лечить с помощью перезагрузки. перезагружал и нечего, без перезагрузки тоже но когда перезагружал ПК  касперский снова нашел этот файл вот лог

CollectionLog-2021.02.12-18.55.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {050eaabb-74ae-11ea-be6a-94de8027ccaa} - L:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {1de984f8-cb76-11e7-8e3e-94de8027ccaa} - J:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {1de9850e-cb76-11e7-8e3e-94de8027ccaa} - J:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {3365ca84-00f4-11e3-bc23-806e6f6e6963} - E:\AutoInstall.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {3aef8465-42b5-11e6-8186-94de8027ccaa} - E:\AutoRun.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {3d1b6159-0270-11e3-a189-60d0a9f7bf1b} - E:\AutoInstall.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {4cb1070e-669a-11ea-b2e6-94de8027ccaa} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {5c462a26-efd7-11e3-8cd0-60d0a9f7bf1b} - J:\LGAutoRun.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {6e365008-b26c-11e3-8a64-60d0a9f7bf1b} - J:\LGAutoRun.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {7ccc404c-4f26-11eb-aaf8-94de8027ccaa} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {8edf97dd-0638-11e3-93e4-60d0a9f7bf1b} - E:\AutoInstall.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {9185aa26-4d83-11ea-a898-94de8027ccaa} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {b6d663ef-5d6e-11e6-95c1-94de8027ccaa} - J:\AutoRun.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {e817cc27-42b8-11e6-8900-001e101f0000} - E:\AutoInstall.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {f0c61e83-479d-11e3-9426-60d0a9f7bf1b} - E:\AutoInstall.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {f952181f-5684-11e7-b70c-94de8027ccaa} - J:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {fce2fc37-293c-11ea-a612-94de8027ccaa} - E:\HiSuiteDownLoader.exe
    virustotal: C:\Users\Админ\AppData\Roaming\NCALayer\NCALayer.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    GroupPolicyScripts: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {1627E09D-545B-488F-B800-1F2152B38893} - System32\Tasks\Uninstaller_SkipUac_Админ => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
    Task: {3A4C1AEF-36B5-4561-97D5-B00D79416460} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
    Task: {4037B2C8-C8B5-4D16-9F19-6F639C2E2323} - System32\Tasks\Driver Booster SkipUAC (Админ) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
    Task: {5ADAC8F4-FE6D-4072-9861-7C8C74246567} - \NetShield Kit scheduled Autoupdate -> No File <==== ATTENTION
    Task: {E441266F-5A62-4FF7-B0AB-11A82E0DAA2A} - System32\Tasks\NetShield Kit Self Repair => C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    Task: {EB2770B8-0BBF-46B9-AED8-667735F17BA7} - \ServiceCheck_12 -> No File <==== ATTENTION
    Tcpip\..\Interfaces\{22A4BBF4-39C6-44DE-A230-EFE7C064137D}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{455A17AC-2D8E-4CA2-8A05-68B64F5CA3A1}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{6560FBAB-BCD3-425C-8A6A-0B0234E4B0E2}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{7CB44E8B-74E7-4AD2-8091-D162FF76F25E}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{83030B0F-0286-4423-AAEB-BA5EB42593EE}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{8ABA3ECC-CC0E-4F64-9123-7DE5387D02FA}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{DEF753FA-6289-4E5D-80AA-7505FDE21030}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{ED31F21C-9C1A-4A17-8229-B113CF892106}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{F502E0BA-A46A-4A92-9142-9B6A9C65E18C}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{F94FC303-8795-4E80-91C6-2F0CE94F2C1D}: [NameServer] 185.192.111.210,37.59.58.122
    S2 NetShieldKitSvc; "C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe" [X]
    U3 aswbdisk; no ImagePath
    S3 FairplayKD; \??\C:\ProgramData\NextRP\Common\temp\FairplayKD.sys [X]
    2021-02-12 16:06 - 2021-02-13 12:46 - 000000000 ____D C:\ProgramData\Flock
    NetShield Kit 1.3.30.0 (HKLM-x32\...\{3351e0d6-8a1d-4a9e-9e31-776bebf5a1d1}) (Version: 1.3.30.0 - Sigma Software) Hidden
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers1-x32: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} => C:\Program Files (x86)\Mail.Ru\Agent\Mra\dll\mramenu.dll -> No File
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [638]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [638]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [638]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [638]
    AlternateDataStreams: C:\Users\Админ\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Админ\Application Data:NT2 [638]
    AlternateDataStreams: C:\Users\Админ\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Админ\AppData\Roaming:NT2 [638]
    BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-818006435-3382491336-101290099-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
    FirewallRules: [{AC8F186A-0EC6-4CF2-BC49-B9960E3612CE}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
    FirewallRules: [{C735E351-BB8A-4A0D-B8EF-768A961EBF95}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
    FirewallRules: [{A70AD9D5-05FF-4ACB-8F91-2C966AFC7125}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
    FirewallRules: [{8F2023B0-472B-4ED8-89FC-B3EBDD8E19DE}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
    FirewallRules: [{01F6ED3F-8260-487F-83E5-73DA72170250}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
    FirewallRules: [{77DA1356-7A56-4C92-8D19-BDB97FF8993B}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен. .
  5. Деинсталлируйте NetShield Kit 1.3.30.0. 

  6. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

здравствуйте

 

 

 

я не смог найти NetShield Kit 1.3.30.0.

 

 

 

вот фикс лог

Fixlog_13-02-2021 15.04.01.txt

 

и кстати файл

Дата_время zip не была создана

Ссылка на комментарий
Поделиться на другие сайты

хорошо

 

 

сделал! мне повторить эти действия?

1 час назад, mike 1 сказал:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен. .
  • Деинсталлируйте NetShield Kit 1.3.30.0. 

  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Ссылка на комментарий
Поделиться на другие сайты

все так же вроде

 

 

а нет не все так теперь этот фирус в папке карантин

 

 

в AutoLogerr

 

 

а ой не там

 

 

он в c:\FRST\Quarantine

 

Касперский его нашел там

 

 

теперь скажите мне если я его сейчас удалю он до конца удалиться?
 

Ссылка на комментарий
Поделиться на другие сайты

Строгое предупреждение от модератора Mark D. Pearlstone
@Batyrkhan не превращайте форум в чат. Пишите всё в одном сообщении, а не 10. Используйте кнопку "Изменить" для редактирвоания сообщения.
Ссылка на комментарий
Поделиться на другие сайты

Переименуйте FRST в Uninstall и запустите. 

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Ольга Кот
      Автор Ольга Кот
      Здравствуйте!
      Антивирус выявил вредоносные приложения (скрин прилагаю). Trojan и MEM:Backdoor.Win32.Insistent.gen.  Всегда ссылается на файл svchost.exe и еще может подтянуть другие. "Лечение с перезагрузкой" не помогает, пробовали руками удалять папки, но после перезагрузки все восстанавливается. Скорее всего подцепили эту заразу в 24.06 - 27.06, ноутбук периодически стал шуметь в спящем режиме и греться, майнингом не занимаемся. Просим оказать содействие в решении этих проблем. Скачала сразу программу для логов, прилагаю файл.

      CollectionLog-2025.07.01-15.08.zip
    • alexander6624
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

    • Чилипиздрик
      Автор Чилипиздрик
      Здравствуйте! Подцепила на просторах интернета указанный MEM:Trojan.Win32.SEPEH.gen Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Дальше делает вид, что работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
      CollectionLog-2025.06.18-20.38.zip
    • Shytnik
      Автор Shytnik
      Здравствуйте. В один момент перестало работать всё с ошибкой «Отказано в доступе». «Касперский» нашел этот вирус и вроде как успешно вылечил с перезагрузкой.
       
      После удаления автоматически запустилась проверка, которая по непонятным причинам сама по себе приостанавливалась три раза. Также по какой-то причине переставали грузиться на некоторое время сайты. Посчитал, что это какое-то подозрительное поведение, и отключил на всякий случай интернет. «Касперский» завершил сканирование и удалил еще кучу скриптов из папки браузера.
       
      В интернете нашел страницу на «Ответах» Mail.ru, где человек писал, что этот вирус после удаления «Касперским» «воскресает». Немного беспокоит эта перспектива, т. к. переустанавливать Windows не хочется. Можно как-то проверить, осталась ли эта гадость в системе?
      CollectionLog-2025.07.04-16.29.zip
    • darksimpson
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
×
×
  • Создать...