Trojan.Win64.Miner.gen нужна помощь

[alexander256]

Addition.txtFRST.txt

[Sandor]

Здравствуйте!

 

Начните со стандартных логов, другими словами выполните Порядок оформления запроса о помощи

[alexander256]

CollectionLog-2021.02.17-15.23.zip

[regist]

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {374DE290-123F-4565-9164-39C4925E467B} = D:\Сергей\Downloads
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4} = D:\Сергей\Saved Games
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {56784854-C6CB-462B-8169-88E350ACB882} = D:\Сергей\Contacts
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {7D1D3A04-DEBB-4115-95CF-2F29DA2920DA} = D:\Сергей\Searches
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968} = D:\Сергей\Links
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Desktop = D:\Сергей\Desktop
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Favorites = D:\Сергей\Favorites
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, My Music = D:\Сергей\Music
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, My Pictures = D:\Сергей\Pictures
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, My Video = D:\Сергей\Videos
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal = D:\_home_admin_many-books.org_6_35713
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, {374DE290-123F-4565-9164-39C4925E467B} = D:\Сергей\Downloads
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Desktop = D:\Сергей\Desktop
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Favorites = D:\Сергей\Favorites
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, My Music = D:\Сергей\Music
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, My Pictures = D:\Сергей\Pictures
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, My Video = D:\Сергей\Videos
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Personal = D:\_home_admin_many-books.org_6_35713

сами переназначали папки?

[alexander256]

Да. Системный диск 64гб SSD - места мало

[regist]

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

2) В настройках роутере DHCP DNS 1: 192.168.0.1 исправьте на DNS провайдера. Кстати, какой у вас провайдер?

3) После предыдущего пункта

"Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{d763e4bd-5627-11ea-b808-806e6f6e6963}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{d763e4bd-5627-11ea-b808-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [SearchList] = localdomain
O22 - Task: DownloadStudio Standalone Updater - C:\Program Files (x86)\Download Studio\dstudio-gui.exe --self-update (file missing)
O22 - Task: Opera scheduled assistant Autoupdate 1582725136 - C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\assistant" $(Arg0) (file missing)
O22 - Task: Opera scheduled Autoupdate 1582457703 - C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)

4) Соберите свежие логи по правилам.

 

 

[alexander256]

В настройках роутера DHCP DNS 1: 0.0.0.0 Провайдер Beeline Череповец

 

virusinfo_files отправил

 

CollectionLog-2021.02.17-16.26.zip

 

С работы гонят . Если можно завтра продолжим.

[regist]

2 часа назад, alexander256 сказал:

0.0.0.0

Но это же не является

 

3 часа назад, regist сказал:

DNS провайдера.

Пропишите там явно его DNS.

 

NetShield Kit 1.3.28.0 - сами ставили? Если нет, то деинсталируйте его.

 

DNS на роутере пропишите, затем ещё такой лог соберите.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.11 [http://dsrt.dyndns.org]
   v400c
   
   adddir %SystemDrive%\PROGRAMDATA
   crimg
   

6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению.

Подробнее читайте в этом руководстве.

[alexander256]

Добрый день! Роутеры стоят в каскаде. До первого роутера нет возможности добраться. Если инет подключить с usb модема - пойдет собрать логи?

[Sandor]

На кибер-форуме тоже ваша тема? Если да, там закрою, т.к. лечить следует в одном месте, иначе рискуете себе же навредить.

[regist]

56 минут назад, alexander256 сказал:

Роутеры стоят в каскаде. До первого роутера нет возможности добраться.

Ладно, тогда это пока оставим. Просто этот вирус прописывает свой DNS на роутере, поэтому чтобы быть уверенным, что вы работаете не через троянский очень желательно явно видеть в логе (можете читать как в ipconfig /all), что выдаётся правильный DNS именно от вашего провайдера, а не что-то там замаскированное.

20 часов назад, regist сказал:

NetShield Kit 1.3.28.0 - сами ставили? Если нет, то деинсталируйте его.

Поправлюсь, удалите в обязательном порядке.

[alexander256]

Добрый день! NetShield Kit 1.3.28.0 - хвосты только в реестре , физически на диске только в карантине advcleaner-а , реестр почищен карантин удален. Пересоздал логи с модемного подключения.

CollectionLog-2021.02.19-11.39.zip FRST.txt Addition.txt

 

Лог uVS.

DESKTOP-INEPHQU_2021-02-19_11-57-35_v4.11.3.7z

[regist]

Цитата

ACDSeeCommanderPro11.exe (KpoJIuK)

Репаки этого Кролика очень часто и являются причиной заражения, так как он разную вирусно/рекламную дрянь внуть пихает.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1284106285-4252166988-2880904218-1001\...\MountPoints2: {35c4a298-16de-11eb-b866-bc5ff445677b} - "E:\setup.exe" 
  HKU\S-1-5-21-1284106285-4252166988-2880904218-1001\...\MountPoints2: {35c4a2bc-16de-11eb-b866-bc5ff445677b} - "F:\setup.exe" 
  2021-02-07 13:51 - 2021-02-18 10:32 - 000000000 ____D C:\ProgramData\Flock
  2020-09-09 16:26 - 2020-09-09 16:26 - 000187712 _____ () C:\ProgramData\yandexBrowserDownloader.exe
  2020-09-09 16:26 - 2020-09-09 16:26 - 000187712 _____ () C:\Users\Все пользователи\yandexBrowserDownloader.exe
  FirewallRules: [{ED94C494-014F-41DE-80B1-6F01046BA1F9}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => No File
  FirewallRules: [{C9EEB0B6-99EF-4A33-A09D-1065728AEC8D}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => No File
  FirewallRules: [{F6E259EC-007B-4BAF-B795-03E9627BE35F}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => No File
  FirewallRules: [{96D98EF4-CB77-47D3-B43A-2F65ED1F88FD}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => No File
  FirewallRules: [{0C73C0A7-9665-4B5B-80F9-96F7426DB8C3}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => No File
  FirewallRules: [{5DCB5D62-26FE-42CA-8D94-831FD40AC5CE}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => No File
  FirewallRules: [{7B198DA1-275E-4E78-B533-2F109EE6E82F}] => (Allow) C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\70.0.3728.189\opera.exe => No File
  FirewallRules: [{10816F7C-FAEA-4EAC-92E2-226A921697B9}] => (Allow) C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\70.0.3728.178\opera.exe => No File
  FirewallRules: [{7A996766-B0A2-4E1A-A849-D831BC2E415A}] => (Allow) C:\Users\СЕРГЕЙ\AppData\Local\Orbitum\Application\chrome.exe => No File
  FirewallRules: [UDP Query User{E9F5493F-C9D4-4A07-9218-8E21F3AD9F52}E:\drivers\sdi_x64_r1909.exe] => (Allow) E:\drivers\sdi_x64_r1909.exe => No File
  FirewallRules: [TCP Query User{F3D67A76-30CC-4A08-BA68-4AC2ADE00CA8}E:\drivers\sdi_x64_r1909.exe] => (Allow) E:\drivers\sdi_x64_r1909.exe => No File
  FirewallRules: [UDP Query User{97AEF245-49C4-45B3-8806-C1A850B2B127}D:\сергей\desktop\проект\ospanel\open server x64.exe] => (Allow) D:\сергей\desktop\проект\ospanel\open server x64.exe => No File
  FirewallRules: [TCP Query User{8478292C-1477-47B4-B6DD-2856D3CE9FDB}D:\сергей\desktop\проект\ospanel\open server x64.exe] => (Allow) D:\сергей\desktop\проект\ospanel\open server x64.exe => No File
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 19 февраля, 2021 пользователем regist

[alexander256]

Добрый день! После чистки реестра и удаления сомнительных программ касперский вируса не находит.

Спасибо!

[regist]

• Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.