Перейти к содержанию

[РЕШЕНО] Вирус Trojan.Win64.Miner.gen


Рекомендуемые сообщения

Здравствуйте. Касперский обнаружил  вирус Trojan.Win64.Miner.gen. Песле лечения с перезагрузкой вирус снова обнаруживается.

CollectionLog-2021.07.04-13.24.zip report1.log report2.log

Ссылка на сообщение
Поделиться на другие сайты
Цитата

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall
YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1

удалите через Установку программ.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteSchedulerTask('gwfmJCXGm');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты

Выполнил. До этого произвел действия которые были описаны в похожем посте. Вирус больше не показывает.

CollectionLog-2021.07.04-17.41.zip report1.log report2.log

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Dimas999 сказал:

До этого произвел действия которые были описаны в похожем посте

Повезло, что систему не завалили. Скрипты пишутся индивидуально для каждого пострадавшего, несмотря на похожие симптомы.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Tcpip\..\Interfaces\{69bb0b86-310c-4a8c-a6c3-fdfe89a11977}: [NameServer] 178.175.133.58,37.1.207.126
OPR Extension: (YoutubeDownloader) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhgjacefjfpgfndglmkecjennblphpbj [2021-03-30]
OPR Extension: (Find-it.pro) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig [2021-03-30]
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN Extension: (Find-It.Pro) - C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\dhbmemjcmckfengfgbffeinmfaoalgdg [2021-03-30]
The1Adblocker 1.0.0.0 (HKLM-x32\...\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}) (Version: 1.0.0.0 - The1Adblocker) Hidden
AlternateDataStreams: C:\Users\Admin\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Admin\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [486]
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
SearchScopes: HKU\S-1-5-21-2793500954-2662295403-356183943-1000 -> DefaultScope 64c288e8-b2c3-11ea-b4f6-d45d64058f02 URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2793500954-2662295403-356183943-1000 -> 64c288e8-b2c3-11ea-b4f6-d45d64058f02 URL = hxxp://search-cdn.net/fip/?q={searchTerms}
FirewallRules: [{288B166F-8A09-4C22-B9EE-75F37726775E}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Animaze\Bin\AnimazeDesktop.exe => Нет файла
FirewallRules: [{C51F7D71-A2EB-4CC1-8D9F-0CE1C4A301B9}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Animaze\Bin\AnimazeDesktop.exe => Нет файла
FirewallRules: [{83A12DB4-2E5F-4F3A-AC47-2E2A30E153A9}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Crossout\launcher.exe => Нет файла
FirewallRules: [{6A4392AA-89BF-4F55-B1EF-A6A2B5549241}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Crossout\launcher.exe => Нет файла
FirewallRules: [{ACCD6406-A388-425A-865E-7177545481BF}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{F6B4C94C-E816-4E6D-846B-B9E45394A84C}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{EF5B18E3-4005-4EDC-B0F8-93D8321F2E55}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{D52B52DC-C238-42CD-B13E-9F9769EDAC5D}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{B41FF918-0366-4382-A6B9-5140445B870B}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{99D8F520-9F1D-4D4E-A8DB-AF46F308E965}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [UDP Query User{5892814D-1708-4608-89BE-B1981B4383BF}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{E247F18E-4D1C-48BC-A7A1-2C54E0944C86}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Нет файла
FirewallRules: [{57512958-F7B2-4389-B0CF-FCC49F939556}] => (Allow) C:\Users\Admin\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{59D852CD-BD20-471A-B115-4F582C7DF04B}] => (Allow) C:\Users\Admin\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{9D282CA0-8F33-4AFF-93B3-D54477E2923A}] => (Allow) D:\Programs\RaidCall.RU\rcplugin.exe => Нет файла
FirewallRules: [{63CD5C6F-0798-4581-BA9C-23ABCF339592}] => (Allow) D:\Programs\RaidCall.RU\rcplugin.exe => Нет файла
FirewallRules: [{4E6B12BE-D299-421D-81AD-91170AA05415}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\DOOMEternal\idTechLauncher.exe => Нет файла
FirewallRules: [{1BADA727-50B8-4F4F-93AF-E91B3D809562}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\DOOMEternal\idTechLauncher.exe => Нет файла
FirewallRules: [UDP Query User{FC7961A9-B400-440E-808C-618497AE5D0D}C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{0D7511C1-DA58-4F61-B744-D64DA410B95A}C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{01D46027-18AC-411A-9425-74762596F014}] => (Allow) C:\Users\Admin\AppData\Local\Temp\DriverPack-20200621123839\tools\aria2c.exe => Нет файла
FirewallRules: [UDP Query User{BDE2D3BA-8538-41AD-B290-88A36F37FE95}C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe] => (Block) C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{7DC00EDF-CCF5-4D95-B454-42669E99920F}C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe] => (Block) C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{9E622F0E-416A-4E9E-8A24-274018D5A83D}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{0BF7F177-8355-47F4-BD49-BAB3497989E4}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{9C94ABBD-DBFB-450F-8446-D76DE2DA54ED}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => Нет файла
FirewallRules: [{7C9BFB59-B7CF-4D44-B96B-74338B440B2E}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{FE48F357-95B8-450E-A910-A6E03A2E1616}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯呜祮䌸攮數 => Нет файла
FirewallRules: [{30511753-3534-4C6E-94DB-569FDEED4ED4}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{39E01851-E6D2-4C93-B0FA-083057A55CA1}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{7A33907F-9522-4D47-95C3-E0DDC6756920}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯牜桪⹫硥e => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Цитата

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall
YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1

так и не удалили

Ссылка на сообщение
Поделиться на другие сайты

Выполнил.

 

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall - в установке программ нет. setup-win32-bundle.exe в указанов пути нет.

YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1 - в установке программ есть, но не удаляется. В указанном пути папка CQCvUThzDNUn отсутствует.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Удалите (поместите в карантин) в МВАМ все найденные записи.

 

После этого удалите старые логи FRST.txt и Addition.txt и сделайте новые логи Farbar.

Ссылка на сообщение
Поделиться на другие сайты

Удалите МВАМ через Установку программ.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhgjacefjfpgfndglmkecjennblphpbj
OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
C:\Users\Admin\AppData\Roaming\Opera Software
C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\dhbmemjcmckfengfgbffeinmfaoalgdg
Task: {DCFF2F33-7ED2-4CC1-AB76-5700FE453E1E} - System32\Tasks\ChrxTask => "C:\Program Files\Google\Chrome\Application\chrome.exe" --load-extension=C:\Windows\Temp\Chrx --user-data-dir=C:\Windows\Temp\ChrxProfile <==== ВНИМАНИЕ
C:\Users\Admin\AppData\Local\Yandex\YandexBrowser
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

Сделайте лог AdwCleaner (самостоятельно ничего не удаляйте) 

Ссылка на сообщение
Поделиться на другие сайты

Удалите в AdwCleaner только указанные записи

PUP.Optional.Legacy             C:\ProgramData\Tencent
PUP.Optional.Legacy             C:\Users\Admin\AppData\Local\Tencent
PUP.Optional.Legacy             C:\Users\Admin\AppData\Roaming\Tencent
PUP.Optional.Legacy             C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Tencent
PUP.Optional.MediaGet           HKCU\Software\Media Get LLC
PUP.Optional.BrowserHijack      https://find-it.pro/?utm_source=distr_m
PUP.Optional.LockHomepage       https://find-it.pro/?utm_source=distr_m

 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • Александр Соколов
      От Александр Соколов
      В интернете словил майнер,грузит процессор на 100 и видеокарту на 100,прошу помощи
    • swagoutbaby
      От swagoutbaby
      Начал играть в PUBG стал замечать сильные фризы и просадок фпс до 20-40 при стабильном 140, просканировал комп dr.web'ом обычным, нашлось 3 трояна и chromium:page.malware.url, просто нажал обезвредить и всё. 1, 2 дня так поиграл без лагов, потом всё по новой, просканировал ещё раз chromium:page.malware.url опять нашёлся. Здесь же на форуме пытался так сказать вылечить комп, сначала помогло, потом по новой. Переустановил винду, всё тоже самое, вирус никуда не делся.
      cureit.log CollectionLog-2024.03.19-17.14.zip report1.log report2.log
    • depston
      От depston
      Доброго времени суток.
      Поймал что-то, doctor web cureit ругается на C:\Users\depston\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences , но не лечиться. adwcleaner_8.4.2 же видит browser hijack, но при последующей перезагрузки все по новой.
      Прикрепил логи с adwcleaner и от First64 Addition.txtFRST.txt
      AdwCleaner[S00].txt AdwCleaner[C00].txt AdwCleaner_Debug.log
×
×
  • Создать...