Перейти к содержанию
Правила раздела

[РЕШЕНО] Вирус Trojan.Win64.Miner.gen

Dimas999

Автор Dimas999
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано
Цитата

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall
YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1

удалите через Установку программ.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteSchedulerTask('gwfmJCXGm');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано
4 минуты назад, Dimas999 сказал:

До этого произвел действия которые были описаны в похожем посте

Повезло, что систему не завалили. Скрипты пишутся индивидуально для каждого пострадавшего, несмотря на похожие симптомы.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Tcpip\..\Interfaces\{69bb0b86-310c-4a8c-a6c3-fdfe89a11977}: [NameServer] 178.175.133.58,37.1.207.126
OPR Extension: (YoutubeDownloader) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhgjacefjfpgfndglmkecjennblphpbj [2021-03-30]
OPR Extension: (Find-it.pro) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig [2021-03-30]
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN Extension: (Find-It.Pro) - C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\dhbmemjcmckfengfgbffeinmfaoalgdg [2021-03-30]
The1Adblocker 1.0.0.0 (HKLM-x32\...\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}) (Version: 1.0.0.0 - The1Adblocker) Hidden
AlternateDataStreams: C:\Users\Admin\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Admin\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [486]
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
SearchScopes: HKU\S-1-5-21-2793500954-2662295403-356183943-1000 -> DefaultScope 64c288e8-b2c3-11ea-b4f6-d45d64058f02 URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2793500954-2662295403-356183943-1000 -> 64c288e8-b2c3-11ea-b4f6-d45d64058f02 URL = hxxp://search-cdn.net/fip/?q={searchTerms}
FirewallRules: [{288B166F-8A09-4C22-B9EE-75F37726775E}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Animaze\Bin\AnimazeDesktop.exe => Нет файла
FirewallRules: [{C51F7D71-A2EB-4CC1-8D9F-0CE1C4A301B9}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Animaze\Bin\AnimazeDesktop.exe => Нет файла
FirewallRules: [{83A12DB4-2E5F-4F3A-AC47-2E2A30E153A9}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Crossout\launcher.exe => Нет файла
FirewallRules: [{6A4392AA-89BF-4F55-B1EF-A6A2B5549241}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Crossout\launcher.exe => Нет файла
FirewallRules: [{ACCD6406-A388-425A-865E-7177545481BF}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{F6B4C94C-E816-4E6D-846B-B9E45394A84C}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{EF5B18E3-4005-4EDC-B0F8-93D8321F2E55}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{D52B52DC-C238-42CD-B13E-9F9769EDAC5D}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{B41FF918-0366-4382-A6B9-5140445B870B}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{99D8F520-9F1D-4D4E-A8DB-AF46F308E965}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [UDP Query User{5892814D-1708-4608-89BE-B1981B4383BF}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{E247F18E-4D1C-48BC-A7A1-2C54E0944C86}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Нет файла
FirewallRules: [{57512958-F7B2-4389-B0CF-FCC49F939556}] => (Allow) C:\Users\Admin\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{59D852CD-BD20-471A-B115-4F582C7DF04B}] => (Allow) C:\Users\Admin\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{9D282CA0-8F33-4AFF-93B3-D54477E2923A}] => (Allow) D:\Programs\RaidCall.RU\rcplugin.exe => Нет файла
FirewallRules: [{63CD5C6F-0798-4581-BA9C-23ABCF339592}] => (Allow) D:\Programs\RaidCall.RU\rcplugin.exe => Нет файла
FirewallRules: [{4E6B12BE-D299-421D-81AD-91170AA05415}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\DOOMEternal\idTechLauncher.exe => Нет файла
FirewallRules: [{1BADA727-50B8-4F4F-93AF-E91B3D809562}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\DOOMEternal\idTechLauncher.exe => Нет файла
FirewallRules: [UDP Query User{FC7961A9-B400-440E-808C-618497AE5D0D}C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{0D7511C1-DA58-4F61-B744-D64DA410B95A}C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{01D46027-18AC-411A-9425-74762596F014}] => (Allow) C:\Users\Admin\AppData\Local\Temp\DriverPack-20200621123839\tools\aria2c.exe => Нет файла
FirewallRules: [UDP Query User{BDE2D3BA-8538-41AD-B290-88A36F37FE95}C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe] => (Block) C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{7DC00EDF-CCF5-4D95-B454-42669E99920F}C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe] => (Block) C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{9E622F0E-416A-4E9E-8A24-274018D5A83D}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{0BF7F177-8355-47F4-BD49-BAB3497989E4}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{9C94ABBD-DBFB-450F-8446-D76DE2DA54ED}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => Нет файла
FirewallRules: [{7C9BFB59-B7CF-4D44-B96B-74338B440B2E}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{FE48F357-95B8-450E-A910-A6E03A2E1616}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯呜祮䌸攮數 => Нет файла
FirewallRules: [{30511753-3534-4C6E-94DB-569FDEED4ED4}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{39E01851-E6D2-4C93-B0FA-083057A55CA1}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{7A33907F-9522-4D47-95C3-E0DDC6756920}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯牜桪⹫硥e => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Цитата

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall
YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1

так и не удалили

Dimas999

Dimas999

Опубликовано
  • Автор
Опубликовано

Выполнил.

 

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall - в установке программ нет. setup-win32-bundle.exe в указанов пути нет.

YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1 - в установке программ есть, но не удаляется. В указанном пути папка CQCvUThzDNUn отсутствует.

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

Расширения YoutubeDownloader и Find-it.pro удалите в браузерах Opera и Yandex.

 

Сделайте лог МВАМ

thyrex

thyrex

Опубликовано
Опубликовано

Удалите (поместите в карантин) в МВАМ все найденные записи.

 

После этого удалите старые логи FRST.txt и Addition.txt и сделайте новые логи Farbar.

thyrex

thyrex

Опубликовано
Опубликовано

Удалите МВАМ через Установку программ.

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhgjacefjfpgfndglmkecjennblphpbj
OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
C:\Users\Admin\AppData\Roaming\Opera Software
C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\dhbmemjcmckfengfgbffeinmfaoalgdg
Task: {DCFF2F33-7ED2-4CC1-AB76-5700FE453E1E} - System32\Tasks\ChrxTask => "C:\Program Files\Google\Chrome\Application\chrome.exe" --load-extension=C:\Windows\Temp\Chrx --user-data-dir=C:\Windows\Temp\ChrxProfile <==== ВНИМАНИЕ
C:\Users\Admin\AppData\Local\Yandex\YandexBrowser
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

Сделайте лог AdwCleaner (самостоятельно ничего не удаляйте) 

thyrex

thyrex

Опубликовано
Опубликовано

Удалите в AdwCleaner только указанные записи 

PUP.Optional.Legacy             C:\ProgramData\Tencent
PUP.Optional.Legacy             C:\Users\Admin\AppData\Local\Tencent
PUP.Optional.Legacy             C:\Users\Admin\AppData\Roaming\Tencent
PUP.Optional.Legacy             C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Tencent
PUP.Optional.MediaGet           HKCU\Software\Media Get LLC
PUP.Optional.BrowserHijack      https://find-it.pro/?utm_source=distr_m
PUP.Optional.LockHomepage       https://find-it.pro/?utm_source=distr_m

 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ivee
      Вирус DWM.exe
      Автор Ivee
      DESKTOP-18JEN24_2025-12-30_16-58-34_v5.0.3v x64.7z
    • Николай212322122
      [РЕШЕНО] Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
×
×
  • Создать...