Перейти к содержанию

Trojan.Win64.Miner.gen нужна помощь


alexander256

Рекомендуемые сообщения

Здравствуйте!

 

Начните со стандартных логов, другими словами выполните Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {374DE290-123F-4565-9164-39C4925E467B} = D:\Сергей\Downloads
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4} = D:\Сергей\Saved Games
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {56784854-C6CB-462B-8169-88E350ACB882} = D:\Сергей\Contacts
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {7D1D3A04-DEBB-4115-95CF-2F29DA2920DA} = D:\Сергей\Searches
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968} = D:\Сергей\Links
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Desktop = D:\Сергей\Desktop
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Favorites = D:\Сергей\Favorites
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, My Music = D:\Сергей\Music
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, My Pictures = D:\Сергей\Pictures
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, My Video = D:\Сергей\Videos
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal = D:\_home_admin_many-books.org_6_35713
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, {374DE290-123F-4565-9164-39C4925E467B} = D:\Сергей\Downloads
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Desktop = D:\Сергей\Desktop
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Favorites = D:\Сергей\Favorites
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, My Music = D:\Сергей\Music
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, My Pictures = D:\Сергей\Pictures
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, My Video = D:\Сергей\Videos
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Personal = D:\_home_admin_many-books.org_6_35713

сами переназначали папки?

Ссылка на комментарий
Поделиться на другие сайты

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

2) В настройках роутере DHCP DNS 1: 192.168.0.1 исправьте на DNS провайдера. Кстати, какой у вас провайдер?

3) После предыдущего пункта

"Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{d763e4bd-5627-11ea-b808-806e6f6e6963}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{d763e4bd-5627-11ea-b808-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [SearchList] = localdomain
O22 - Task: DownloadStudio Standalone Updater - C:\Program Files (x86)\Download Studio\dstudio-gui.exe --self-update (file missing)
O22 - Task: Opera scheduled assistant Autoupdate 1582725136 - C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\assistant" $(Arg0) (file missing)
O22 - Task: Opera scheduled Autoupdate 1582457703 - C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)

4) Соберите свежие логи по правилам.

 

 

Ссылка на комментарий
Поделиться на другие сайты

В настройках роутера DHCP DNS 1: 0.0.0.0 Провайдер Beeline Череповец

 

virusinfo_files отправил

 

CollectionLog-2021.02.17-16.26.zip

 

С работы гонят . Если можно завтра продолжим.

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, alexander256 сказал:

0.0.0.0

Но это же не является

 

3 часа назад, regist сказал:

DNS провайдера.

Пропишите там явно его DNS.

 

NetShield Kit 1.3.28.0 - сами ставили? Если нет, то деинсталируйте его.

 

DNS на роутере пропишите, затем ещё такой лог соберите.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.11 [http://dsrt.dyndns.org]
    v400c
    
    adddir %SystemDrive%\PROGRAMDATA
    crimg
    
  6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Добрый день! Роутеры стоят в каскаде. До первого роутера нет возможности добраться. Если инет подключить с usb модема - пойдет собрать логи?

Ссылка на комментарий
Поделиться на другие сайты

На кибер-форуме тоже ваша тема? Если да, там закрою, т.к. лечить следует в одном месте, иначе рискуете себе же навредить.

Ссылка на комментарий
Поделиться на другие сайты

56 минут назад, alexander256 сказал:

Роутеры стоят в каскаде. До первого роутера нет возможности добраться.

Ладно, тогда это пока оставим. Просто этот вирус прописывает свой DNS на роутере, поэтому чтобы быть уверенным, что вы работаете не через троянский очень желательно явно видеть в логе (можете читать как в ipconfig /all), что выдаётся правильный DNS именно от вашего провайдера, а не что-то там замаскированное.

20 часов назад, regist сказал:

NetShield Kit 1.3.28.0 - сами ставили? Если нет, то деинсталируйте его.

Поправлюсь, удалите в обязательном порядке.

Ссылка на комментарий
Поделиться на другие сайты

Добрый день! NetShield Kit 1.3.28.0 - хвосты только в реестре , физически на диске только в карантине advcleaner-а , реестр почищен карантин удален. Пересоздал логи с модемного подключения.

CollectionLog-2021.02.19-11.39.zip FRST.txt Addition.txt

 

Лог uVS.

DESKTOP-INEPHQU_2021-02-19_11-57-35_v4.11.3.7z

Ссылка на комментарий
Поделиться на другие сайты

Цитата

ACDSeeCommanderPro11.exe (KpoJIuK)

Репаки этого Кролика очень часто и являются причиной заражения, так как он разную вирусно/рекламную дрянь внуть пихает.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1284106285-4252166988-2880904218-1001\...\MountPoints2: {35c4a298-16de-11eb-b866-bc5ff445677b} - "E:\setup.exe" 
    HKU\S-1-5-21-1284106285-4252166988-2880904218-1001\...\MountPoints2: {35c4a2bc-16de-11eb-b866-bc5ff445677b} - "F:\setup.exe" 
    2021-02-07 13:51 - 2021-02-18 10:32 - 000000000 ____D C:\ProgramData\Flock
    2020-09-09 16:26 - 2020-09-09 16:26 - 000187712 _____ () C:\ProgramData\yandexBrowserDownloader.exe
    2020-09-09 16:26 - 2020-09-09 16:26 - 000187712 _____ () C:\Users\Все пользователи\yandexBrowserDownloader.exe
    FirewallRules: [{ED94C494-014F-41DE-80B1-6F01046BA1F9}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => No File
    FirewallRules: [{C9EEB0B6-99EF-4A33-A09D-1065728AEC8D}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => No File
    FirewallRules: [{F6E259EC-007B-4BAF-B795-03E9627BE35F}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => No File
    FirewallRules: [{96D98EF4-CB77-47D3-B43A-2F65ED1F88FD}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => No File
    FirewallRules: [{0C73C0A7-9665-4B5B-80F9-96F7426DB8C3}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => No File
    FirewallRules: [{5DCB5D62-26FE-42CA-8D94-831FD40AC5CE}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => No File
    FirewallRules: [{7B198DA1-275E-4E78-B533-2F109EE6E82F}] => (Allow) C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\70.0.3728.189\opera.exe => No File
    FirewallRules: [{10816F7C-FAEA-4EAC-92E2-226A921697B9}] => (Allow) C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\70.0.3728.178\opera.exe => No File
    FirewallRules: [{7A996766-B0A2-4E1A-A849-D831BC2E415A}] => (Allow) C:\Users\СЕРГЕЙ\AppData\Local\Orbitum\Application\chrome.exe => No File
    FirewallRules: [UDP Query User{E9F5493F-C9D4-4A07-9218-8E21F3AD9F52}E:\drivers\sdi_x64_r1909.exe] => (Allow) E:\drivers\sdi_x64_r1909.exe => No File
    FirewallRules: [TCP Query User{F3D67A76-30CC-4A08-BA68-4AC2ADE00CA8}E:\drivers\sdi_x64_r1909.exe] => (Allow) E:\drivers\sdi_x64_r1909.exe => No File
    FirewallRules: [UDP Query User{97AEF245-49C4-45B3-8806-C1A850B2B127}D:\сергей\desktop\проект\ospanel\open server x64.exe] => (Allow) D:\сергей\desktop\проект\ospanel\open server x64.exe => No File
    FirewallRules: [TCP Query User{8478292C-1477-47B4-B6DD-2856D3CE9FDB}D:\сергей\desktop\проект\ospanel\open server x64.exe] => (Allow) D:\сергей\desktop\проект\ospanel\open server x64.exe => No File
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

  • Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • AJIEKCAHDP
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • Alex3334
      Автор Alex3334
      Добрый день помогите избавится от этого файла HEUR:Trojan.Win64.Miner.gen  
    • Feanor
      Автор Feanor
      Здравствуйте, в последнее время системный блок начал сильно шуметь и грузиться процессор, в диспетчере задач обнаружил процесс с "Утилитой поиска строк (GREP)" пытаясь устранить проблему скачал и установил антивирус. При сканировании обнаружились выше указанные вирусы, которые при лечении и перезагрузке появляются снова
      CollectionLog-2025.03.12-19.38.zip
    • Ilya45
      Автор Ilya45
      Доброго времени суток.
      Зашифровали сегодня файлы на компе, ночью, предположительно подключились через рдп, вырубили каспера иначе думаю не отключить. винда 7.
      log.zip - логи под пользователем где все зашифровано,
      log2.zip - логи под созданным пользователем(добавил нового сам). со всеми галками в программе.
      files.zip - файл исходный и зашифрованный, плюс тхт с сообщением.
      log.zip files.zip log2.zip
    • Kafetto
      Автор Kafetto
      Добрый день!
      После скачивания и установки читов (если будет нужно, могу предоставить потенциально заражённый файл) на игру заметил, что ноутбук начал сильно шуметь и греться. Затем увидел в диспетчере задач использование видеокарты 100% в состоянии покоя и скачал Касперский антивирус. Он обнаружил следующие вирусы:
      HEUR:Trojan.Win32.Agentb.gen
      UDS: Trojan-Downloader.Win32.Agent.gen
      HEUR:Trojan.Win32.Inject.gen
      MEM:Backdoor.Win32.Insistent.gen
      MEM:Backdoor.Win32.Insistent.gen
      HEUR:Trojan.Win64.Miner.gen
      После лечение и перезагрузки они вновь появляются, ничего не помогает.
      Также пробовал удалять их, тоже безрезультатно.
      Прикладываю скриншоты обнаружения:






      Также прикладываю файл с логами:
      CollectionLog-2025.03.01-21.30.zipCollectionLog-2025.03.01-21.30.zip
×
×
  • Создать...