Перейти к содержанию

[РЕШЕНО] Вирус Trojan.Win64.Miner.gen


Рекомендуемые сообщения

Здравствуйте. Касперский обнаружил  вирус Trojan.Win64.Miner.gen. Песле лечения с перезагрузкой вирус снова обнаруживается.

CollectionLog-2021.07.04-13.24.zip report1.log report2.log

Ссылка на сообщение
Поделиться на другие сайты
Цитата

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall
YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1

удалите через Установку программ.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteSchedulerTask('gwfmJCXGm');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Dimas999 сказал:

До этого произвел действия которые были описаны в похожем посте

Повезло, что систему не завалили. Скрипты пишутся индивидуально для каждого пострадавшего, несмотря на похожие симптомы.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Tcpip\..\Interfaces\{69bb0b86-310c-4a8c-a6c3-fdfe89a11977}: [NameServer] 178.175.133.58,37.1.207.126
OPR Extension: (YoutubeDownloader) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhgjacefjfpgfndglmkecjennblphpbj [2021-03-30]
OPR Extension: (Find-it.pro) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig [2021-03-30]
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN Extension: (Find-It.Pro) - C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\dhbmemjcmckfengfgbffeinmfaoalgdg [2021-03-30]
The1Adblocker 1.0.0.0 (HKLM-x32\...\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}) (Version: 1.0.0.0 - The1Adblocker) Hidden
AlternateDataStreams: C:\Users\Admin\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Admin\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [486]
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
SearchScopes: HKU\S-1-5-21-2793500954-2662295403-356183943-1000 -> DefaultScope 64c288e8-b2c3-11ea-b4f6-d45d64058f02 URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2793500954-2662295403-356183943-1000 -> 64c288e8-b2c3-11ea-b4f6-d45d64058f02 URL = hxxp://search-cdn.net/fip/?q={searchTerms}
FirewallRules: [{288B166F-8A09-4C22-B9EE-75F37726775E}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Animaze\Bin\AnimazeDesktop.exe => Нет файла
FirewallRules: [{C51F7D71-A2EB-4CC1-8D9F-0CE1C4A301B9}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Animaze\Bin\AnimazeDesktop.exe => Нет файла
FirewallRules: [{83A12DB4-2E5F-4F3A-AC47-2E2A30E153A9}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Crossout\launcher.exe => Нет файла
FirewallRules: [{6A4392AA-89BF-4F55-B1EF-A6A2B5549241}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Crossout\launcher.exe => Нет файла
FirewallRules: [{ACCD6406-A388-425A-865E-7177545481BF}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{F6B4C94C-E816-4E6D-846B-B9E45394A84C}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{EF5B18E3-4005-4EDC-B0F8-93D8321F2E55}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{D52B52DC-C238-42CD-B13E-9F9769EDAC5D}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{B41FF918-0366-4382-A6B9-5140445B870B}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{99D8F520-9F1D-4D4E-A8DB-AF46F308E965}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [UDP Query User{5892814D-1708-4608-89BE-B1981B4383BF}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{E247F18E-4D1C-48BC-A7A1-2C54E0944C86}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Нет файла
FirewallRules: [{57512958-F7B2-4389-B0CF-FCC49F939556}] => (Allow) C:\Users\Admin\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{59D852CD-BD20-471A-B115-4F582C7DF04B}] => (Allow) C:\Users\Admin\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{9D282CA0-8F33-4AFF-93B3-D54477E2923A}] => (Allow) D:\Programs\RaidCall.RU\rcplugin.exe => Нет файла
FirewallRules: [{63CD5C6F-0798-4581-BA9C-23ABCF339592}] => (Allow) D:\Programs\RaidCall.RU\rcplugin.exe => Нет файла
FirewallRules: [{4E6B12BE-D299-421D-81AD-91170AA05415}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\DOOMEternal\idTechLauncher.exe => Нет файла
FirewallRules: [{1BADA727-50B8-4F4F-93AF-E91B3D809562}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\DOOMEternal\idTechLauncher.exe => Нет файла
FirewallRules: [UDP Query User{FC7961A9-B400-440E-808C-618497AE5D0D}C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{0D7511C1-DA58-4F61-B744-D64DA410B95A}C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{01D46027-18AC-411A-9425-74762596F014}] => (Allow) C:\Users\Admin\AppData\Local\Temp\DriverPack-20200621123839\tools\aria2c.exe => Нет файла
FirewallRules: [UDP Query User{BDE2D3BA-8538-41AD-B290-88A36F37FE95}C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe] => (Block) C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{7DC00EDF-CCF5-4D95-B454-42669E99920F}C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe] => (Block) C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{9E622F0E-416A-4E9E-8A24-274018D5A83D}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{0BF7F177-8355-47F4-BD49-BAB3497989E4}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{9C94ABBD-DBFB-450F-8446-D76DE2DA54ED}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => Нет файла
FirewallRules: [{7C9BFB59-B7CF-4D44-B96B-74338B440B2E}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{FE48F357-95B8-450E-A910-A6E03A2E1616}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯呜祮䌸攮數 => Нет файла
FirewallRules: [{30511753-3534-4C6E-94DB-569FDEED4ED4}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{39E01851-E6D2-4C93-B0FA-083057A55CA1}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{7A33907F-9522-4D47-95C3-E0DDC6756920}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯牜桪⹫硥e => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Цитата

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall
YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1

так и не удалили

Ссылка на сообщение
Поделиться на другие сайты

Выполнил.

 

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall - в установке программ нет. setup-win32-bundle.exe в указанов пути нет.

YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1 - в установке программ есть, но не удаляется. В указанном пути папка CQCvUThzDNUn отсутствует.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Удалите (поместите в карантин) в МВАМ все найденные записи.

 

После этого удалите старые логи FRST.txt и Addition.txt и сделайте новые логи Farbar.

Ссылка на сообщение
Поделиться на другие сайты

Удалите МВАМ через Установку программ.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhgjacefjfpgfndglmkecjennblphpbj
OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
C:\Users\Admin\AppData\Roaming\Opera Software
C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\dhbmemjcmckfengfgbffeinmfaoalgdg
Task: {DCFF2F33-7ED2-4CC1-AB76-5700FE453E1E} - System32\Tasks\ChrxTask => "C:\Program Files\Google\Chrome\Application\chrome.exe" --load-extension=C:\Windows\Temp\Chrx --user-data-dir=C:\Windows\Temp\ChrxProfile <==== ВНИМАНИЕ
C:\Users\Admin\AppData\Local\Yandex\YandexBrowser
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

Сделайте лог AdwCleaner (самостоятельно ничего не удаляйте) 

Ссылка на сообщение
Поделиться на другие сайты

Удалите в AdwCleaner только указанные записи

PUP.Optional.Legacy             C:\ProgramData\Tencent
PUP.Optional.Legacy             C:\Users\Admin\AppData\Local\Tencent
PUP.Optional.Legacy             C:\Users\Admin\AppData\Roaming\Tencent
PUP.Optional.Legacy             C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Tencent
PUP.Optional.MediaGet           HKCU\Software\Media Get LLC
PUP.Optional.BrowserHijack      https://find-it.pro/?utm_source=distr_m
PUP.Optional.LockHomepage       https://find-it.pro/?utm_source=distr_m

 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • guts
      От guts
      Добрый день, есть проблема с процессом Powershell.exe, который грузит ЦПУ на 100%. При запуске диспетчера задач он пропадает, после закрытия диспетчера появляется вновь, потому невозможно определить где он находится. CureIt и другие утилиты ничего не находят. Пожалуйста, помогите разобраться.
      CollectionLog-2021.11.23-16.17.zip
    • Comrade
      От Comrade
      Здраствуйте! Процессор загружается на 100% в простое. При включении диспетчера задач нагрузка исчезает. Стоит выключить диспетчер задач как нагрузка опять на 100%. Попытался установить антивирус Kaspersky Internet Security. Получил ключ, но не могу нажать на ссылку "скачать" она как будто не активна. Та же история и с другими продуктами Касперского. С Kaspersky Virus Removal Tool та же история. 
      CollectionLog-2021.11.17-23.23.zip
    • dencik
      От dencik
      Поймал вирус майнер на windows 10 pro, с помощью утилиты cureit удалил его, затем с помощью kaspersky virus removal tool доловил ещё несколько вирусов, но теперь нет возможности установит например браузер аваст secure, Malwarebytes Anti-Malware и многие другие программы, так же нет возможно восстановление системы к более раннему состоянию, не видит ни точек восстановления не даже дисков на которых они были, так же наблюдаются и многие другие отклонения в работе системы, даже шрифт изменился в самом виндовс на более мелкий, кое как удалось установить касперский антивирус, но он так же ничего не находит.
    • Евгений111
      От Евгений111
      Поймал по rdp шифровальщика, помогите пожалуйста. Необходимые файлы вложил.
      архив.rar Addition.txt FRST.txt
    • liltrick001
      От liltrick001
      В списке разрешенных угроз лежит толпа вирусов, достать которые оттуда не выходит — постоянно возвращаются, хотя самих вирусов (вероятно) на устройстве уже нет.

      CollectionLog-2021.11.11-12.38.zip
×
×
  • Создать...