Перейти к содержанию

[РЕШЕНО] Помогите удалить Trojan.Win64.Miner.gen пожалуйста!


Рекомендуемые сообщения

путь С:\ProgramData\Flock\Flock.exe пытался удалить способами через ютуб нечего не помогло! пытался лечить с помощью перезагрузки. перезагружал и нечего, без перезагрузки тоже но когда перезагружал ПК  касперский снова нашел этот файл вот лог

CollectionLog-2021.02.12-18.55.zip

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 55
  • Created
  • Последний ответ

Top Posters In This Topic

Popular Posts

Где именно? В карантине FRST?

в каком файле?

Деинсталлируйте Transmission version 3.00.0, UnknownFile, Менеджер браузеров и Служба автоматического обновления программ   ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя,

Posted Images

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {050eaabb-74ae-11ea-be6a-94de8027ccaa} - L:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {1de984f8-cb76-11e7-8e3e-94de8027ccaa} - J:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {1de9850e-cb76-11e7-8e3e-94de8027ccaa} - J:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {3365ca84-00f4-11e3-bc23-806e6f6e6963} - E:\AutoInstall.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {3aef8465-42b5-11e6-8186-94de8027ccaa} - E:\AutoRun.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {3d1b6159-0270-11e3-a189-60d0a9f7bf1b} - E:\AutoInstall.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {4cb1070e-669a-11ea-b2e6-94de8027ccaa} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {5c462a26-efd7-11e3-8cd0-60d0a9f7bf1b} - J:\LGAutoRun.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {6e365008-b26c-11e3-8a64-60d0a9f7bf1b} - J:\LGAutoRun.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {7ccc404c-4f26-11eb-aaf8-94de8027ccaa} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {8edf97dd-0638-11e3-93e4-60d0a9f7bf1b} - E:\AutoInstall.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {9185aa26-4d83-11ea-a898-94de8027ccaa} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {b6d663ef-5d6e-11e6-95c1-94de8027ccaa} - J:\AutoRun.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {e817cc27-42b8-11e6-8900-001e101f0000} - E:\AutoInstall.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {f0c61e83-479d-11e3-9426-60d0a9f7bf1b} - E:\AutoInstall.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {f952181f-5684-11e7-b70c-94de8027ccaa} - J:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\...\MountPoints2: {fce2fc37-293c-11ea-a612-94de8027ccaa} - E:\HiSuiteDownLoader.exe
    virustotal: C:\Users\Админ\AppData\Roaming\NCALayer\NCALayer.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    GroupPolicyScripts: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    HKU\S-1-5-21-818006435-3382491336-101290099-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {1627E09D-545B-488F-B800-1F2152B38893} - System32\Tasks\Uninstaller_SkipUac_Админ => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
    Task: {3A4C1AEF-36B5-4561-97D5-B00D79416460} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
    Task: {4037B2C8-C8B5-4D16-9F19-6F639C2E2323} - System32\Tasks\Driver Booster SkipUAC (Админ) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
    Task: {5ADAC8F4-FE6D-4072-9861-7C8C74246567} - \NetShield Kit scheduled Autoupdate -> No File <==== ATTENTION
    Task: {E441266F-5A62-4FF7-B0AB-11A82E0DAA2A} - System32\Tasks\NetShield Kit Self Repair => C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    Task: {EB2770B8-0BBF-46B9-AED8-667735F17BA7} - \ServiceCheck_12 -> No File <==== ATTENTION
    Tcpip\..\Interfaces\{22A4BBF4-39C6-44DE-A230-EFE7C064137D}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{455A17AC-2D8E-4CA2-8A05-68B64F5CA3A1}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{6560FBAB-BCD3-425C-8A6A-0B0234E4B0E2}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{7CB44E8B-74E7-4AD2-8091-D162FF76F25E}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{83030B0F-0286-4423-AAEB-BA5EB42593EE}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{8ABA3ECC-CC0E-4F64-9123-7DE5387D02FA}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{DEF753FA-6289-4E5D-80AA-7505FDE21030}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{ED31F21C-9C1A-4A17-8229-B113CF892106}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{F502E0BA-A46A-4A92-9142-9B6A9C65E18C}: [NameServer] 185.192.111.210,37.59.58.122
    Tcpip\..\Interfaces\{F94FC303-8795-4E80-91C6-2F0CE94F2C1D}: [NameServer] 185.192.111.210,37.59.58.122
    S2 NetShieldKitSvc; "C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe" [X]
    U3 aswbdisk; no ImagePath
    S3 FairplayKD; \??\C:\ProgramData\NextRP\Common\temp\FairplayKD.sys [X]
    2021-02-12 16:06 - 2021-02-13 12:46 - 000000000 ____D C:\ProgramData\Flock
    NetShield Kit 1.3.30.0 (HKLM-x32\...\{3351e0d6-8a1d-4a9e-9e31-776bebf5a1d1}) (Version: 1.3.30.0 - Sigma Software) Hidden
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers1-x32: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} => C:\Program Files (x86)\Mail.Ru\Agent\Mra\dll\mramenu.dll -> No File
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [638]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [638]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [638]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [638]
    AlternateDataStreams: C:\Users\Админ\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Админ\Application Data:NT2 [638]
    AlternateDataStreams: C:\Users\Админ\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Админ\AppData\Roaming:NT2 [638]
    BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-818006435-3382491336-101290099-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
    FirewallRules: [{AC8F186A-0EC6-4CF2-BC49-B9960E3612CE}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
    FirewallRules: [{C735E351-BB8A-4A0D-B8EF-768A961EBF95}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
    FirewallRules: [{A70AD9D5-05FF-4ACB-8F91-2C966AFC7125}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
    FirewallRules: [{8F2023B0-472B-4ED8-89FC-B3EBDD8E19DE}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
    FirewallRules: [{01F6ED3F-8260-487F-83E5-73DA72170250}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File
    FirewallRules: [{77DA1356-7A56-4C92-8D19-BDB97FF8993B}] => (Allow) C:\Users\Админ\AppData\Roaming\uTorrent\uTorrent.exe => No File

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен. .
  5. Деинсталлируйте NetShield Kit 1.3.30.0. 

  6. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

здравствуйте

 

 

 

я не смог найти NetShield Kit 1.3.30.0.

 

 

 

вот фикс лог

Fixlog_13-02-2021 15.04.01.txt

 

и кстати файл

Дата_время zip не была создана

Ссылка на сообщение
Поделиться на другие сайты

хорошо

 

 

сделал! мне повторить эти действия?

1 час назад, mike 1 сказал:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен. .
  • Деинсталлируйте NetShield Kit 1.3.30.0. 

  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Ссылка на сообщение
Поделиться на другие сайты

все так же вроде

 

 

а нет не все так теперь этот фирус в папке карантин

 

 

в AutoLogerr

 

 

а ой не там

 

 

он в c:\FRST\Quarantine

 

Касперский его нашел там

 

 

теперь скажите мне если я его сейчас удалю он до конца удалиться?
 

Ссылка на сообщение
Поделиться на другие сайты
Строгое предупреждение от модератора Mark D. Pearlstone
@Batyrkhan не превращайте форум в чат. Пишите всё в одном сообщении, а не 10. Используйте кнопку "Изменить" для редактирвоания сообщения.
Ссылка на сообщение
Поделиться на другие сайты

Переименуйте FRST в Uninstall и запустите. 

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты
  • Mark D. Pearlstone changed the title to Помогите удалить Trojan.Win64.Miner.gen пожалуйста!
  • mike 1 закрыт, unlocked и закрыт this тема
  • mike 1 unlocked this тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От JiK
      Добрый день. Проблема с удаленным доступом злоумышленников, который возможно остался после заражения ПК.
      Суть вопроса: Возможна ли ситуации, что даже после очистки ПК и переустановки системы у злоумышленника остался доступ к моему ПК? Подробнее я описал в теме соседнего раздела, но отписать сюда.
      Вот тема: 
       
    • От JiK
      Добрый день, я знаю, что сообщение будет не по форме, но у меня на то весомые причины, прошу прочитать.
      Логов у меня нет, т.к. на момент ситуации не думал, что буду писать сюда, но жизненная ситуация вынудила.
       
      Прилагаю ссылку, т.к нет логов из-за срока давности ситуации (опишу позже).
      Ссылка на вредоносный сайт, где можно скачать софт  :
       
      Полная хронология событий:

      1) 28 августа скачал вредоностный софт, который описан выше и запустил. осознав ошибку сразу скачал Dr.Web Cureit и просканировал систему. Было найдено 14 троянов, которые я попытался вылечить. После лечения Dr.Web Cureit попросил перезгрузить ПК, что я и сделал. Но винда не запустилась из-за какой-то критической ошибки. Я начал процесс восстановления по бекапу недельной давности, что мне и удалось. После восстановления я ещё раз проверил компьютер и вирусов уже не было. Подумав, что проблема решена я забыл про неё.
       
      2) 29 августа мне приходит уведомление об удалении номера телефона и двухфакторной аутентификации в гугл аккаунте. Но как так? Ведь для захода необходимо получить коды подтверждения по телефону, чего естевственно не приходило. Я сразу сменил пароль и удалил все авторизации.  Также я заметил, что в истории авторизации не было сторонних устройств. Были только мои личные. (В тот моментя  почему-то не предал этому значение).

      3) 1 сентября мне взломали инстаграмм, аналогично как и с гуглом. Авторизации только с моих устройств, пароли не меняли. Я сразу подумал, что полюбому дело в том, что червяк засел в системе даже после восставноления. Снес винду, переустановил и заменил все пароли по новой.  Вирусов в системе никаких нет.
       
      На данный момент у меня более ничего не ломали, но страх повторения ситуации есть. Подскажите как быть и что делать, спасибо.
      Ещё раз извиняюсь, что без логов, но ситуация такая.
    • От _bezuss_
      В защитнике Вигдовс в списке "разрешенные" трояны Trojan:script/Wacatac.B1ml, Trojan:win32/Wacatac.B1ml, Trojan:script/Casur.A!cl, никакие антивирусы их не видят!!!

    • От tuvumba
      При борьбе с вирусом в соседнем разделе (https://forum.kasperskyclub.ru/topic/83139-winmonsys-windefenderexe-csrss) пришли к выводу, что необходимо установить хотфиксы для успешного излечения. Однако, служба Центра обновлений Windows отсутствует в списке служб, а при попытке включить центр обновлений windows через панель управления, выскакивает ошибка: Центр обновлений Windows в настоящее время не может выполнить поиск обновлений, поскольку эта служба не запущена. При попытке установить скачанные хотфиксы выскаивает ошибка 0х80070424. 

      После Repair с помощью Tweaking и перезагрузки в безопасный режим служба всё-таки появилась в списке, но отсутствует возможность ее запустить или же остановить, статус отключена. При попытке попробовать поставить тип запуска исполняемого на "Автоматический" выскакивает ошибка:

      Не удалось сбросить флажок отложенного автоматического запуска. Ошибка 1072: Данная служба была отмечена для удаления. 
       
    • От tuvumba
      Недавно обнаружил на рабочем компе вирус, попытки вручную удалить не увенчались успехом. При буте в нормальном режиме снова всё возвращается. Kaspersky Virus Removal Tool находит Winmon.sys, windefender, csrss и прочие файлы. Логи прилагаю.
      CollectionLog-2021.07.21-12.09.zip

×
×
  • Создать...