[РЕШЕНО] Вирус Trojan.Win64.Miner.gen

[Dimas999]

Здравствуйте. Касперский обнаружил  вирус Trojan.Win64.Miner.gen. Песле лечения с перезагрузкой вирус снова обнаруживается.

CollectionLog-2021.07.04-13.24.zip report1.log report2.log

[thyrex]

Цитата

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall
YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1

удалите через Установку программ.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteSchedulerTask('gwfmJCXGm');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Dimas999]

Выполнил. До этого произвел действия которые были описаны в похожем посте. Вирус больше не показывает.

CollectionLog-2021.07.04-17.41.zip report1.log report2.log

[thyrex]

4 минуты назад, Dimas999 сказал:

До этого произвел действия которые были описаны в похожем посте

Повезло, что систему не завалили. Скрипты пишутся индивидуально для каждого пострадавшего, несмотря на похожие симптомы.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Dimas999]

Выполнил

FRST.zip

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Tcpip\..\Interfaces\{69bb0b86-310c-4a8c-a6c3-fdfe89a11977}: [NameServer] 178.175.133.58,37.1.207.126
OPR Extension: (YoutubeDownloader) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhgjacefjfpgfndglmkecjennblphpbj [2021-03-30]
OPR Extension: (Find-it.pro) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig [2021-03-30]
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN Extension: (Find-It.Pro) - C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\dhbmemjcmckfengfgbffeinmfaoalgdg [2021-03-30]
The1Adblocker 1.0.0.0 (HKLM-x32\...\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}) (Version: 1.0.0.0 - The1Adblocker) Hidden
AlternateDataStreams: C:\Users\Admin\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Admin\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [486]
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
SearchScopes: HKU\S-1-5-21-2793500954-2662295403-356183943-1000 -> DefaultScope 64c288e8-b2c3-11ea-b4f6-d45d64058f02 URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2793500954-2662295403-356183943-1000 -> 64c288e8-b2c3-11ea-b4f6-d45d64058f02 URL = hxxp://search-cdn.net/fip/?q={searchTerms}
FirewallRules: [{288B166F-8A09-4C22-B9EE-75F37726775E}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Animaze\Bin\AnimazeDesktop.exe => Нет файла
FirewallRules: [{C51F7D71-A2EB-4CC1-8D9F-0CE1C4A301B9}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Animaze\Bin\AnimazeDesktop.exe => Нет файла
FirewallRules: [{83A12DB4-2E5F-4F3A-AC47-2E2A30E153A9}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Crossout\launcher.exe => Нет файла
FirewallRules: [{6A4392AA-89BF-4F55-B1EF-A6A2B5549241}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Crossout\launcher.exe => Нет файла
FirewallRules: [{ACCD6406-A388-425A-865E-7177545481BF}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{F6B4C94C-E816-4E6D-846B-B9E45394A84C}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{EF5B18E3-4005-4EDC-B0F8-93D8321F2E55}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{D52B52DC-C238-42CD-B13E-9F9769EDAC5D}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{B41FF918-0366-4382-A6B9-5140445B870B}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{99D8F520-9F1D-4D4E-A8DB-AF46F308E965}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [UDP Query User{5892814D-1708-4608-89BE-B1981B4383BF}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{E247F18E-4D1C-48BC-A7A1-2C54E0944C86}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Нет файла
FirewallRules: [{57512958-F7B2-4389-B0CF-FCC49F939556}] => (Allow) C:\Users\Admin\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{59D852CD-BD20-471A-B115-4F582C7DF04B}] => (Allow) C:\Users\Admin\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{9D282CA0-8F33-4AFF-93B3-D54477E2923A}] => (Allow) D:\Programs\RaidCall.RU\rcplugin.exe => Нет файла
FirewallRules: [{63CD5C6F-0798-4581-BA9C-23ABCF339592}] => (Allow) D:\Programs\RaidCall.RU\rcplugin.exe => Нет файла
FirewallRules: [{4E6B12BE-D299-421D-81AD-91170AA05415}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\DOOMEternal\idTechLauncher.exe => Нет файла
FirewallRules: [{1BADA727-50B8-4F4F-93AF-E91B3D809562}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\DOOMEternal\idTechLauncher.exe => Нет файла
FirewallRules: [UDP Query User{FC7961A9-B400-440E-808C-618497AE5D0D}C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{0D7511C1-DA58-4F61-B744-D64DA410B95A}C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{01D46027-18AC-411A-9425-74762596F014}] => (Allow) C:\Users\Admin\AppData\Local\Temp\DriverPack-20200621123839\tools\aria2c.exe => Нет файла
FirewallRules: [UDP Query User{BDE2D3BA-8538-41AD-B290-88A36F37FE95}C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe] => (Block) C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{7DC00EDF-CCF5-4D95-B454-42669E99920F}C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe] => (Block) C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{9E622F0E-416A-4E9E-8A24-274018D5A83D}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{0BF7F177-8355-47F4-BD49-BAB3497989E4}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{9C94ABBD-DBFB-450F-8446-D76DE2DA54ED}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => Нет файла
FirewallRules: [{7C9BFB59-B7CF-4D44-B96B-74338B440B2E}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{FE48F357-95B8-450E-A910-A6E03A2E1616}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯呜祮䌸攮數 => Нет файла
FirewallRules: [{30511753-3534-4C6E-94DB-569FDEED4ED4}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{39E01851-E6D2-4C93-B0FA-083057A55CA1}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{7A33907F-9522-4D47-95C3-E0DDC6756920}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯牜桪⹫硥e => Нет файла
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Цитата

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall
YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1

так и не удалили

[Dimas999]

Выполнил.

 

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall - в установке программ нет. setup-win32-bundle.exe в указанов пути нет.

YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1 - в установке программ есть, но не удаляется. В указанном пути папка CQCvUThzDNUn отсутствует.

Fixlog.txt

[thyrex]

Расширения YoutubeDownloader и Find-it.pro удалите в браузерах Opera и Yandex.

 

Сделайте лог МВАМ

[Dimas999]

Выполнил.

 

Браузеров Opera и Yandex нет
 

Результат проверки.txt

[thyrex]

Удалите (поместите в карантин) в МВАМ все найденные записи.

 

После этого удалите старые логи FRST.txt и Addition.txt и сделайте новые логи Farbar.

[Dimas999]

Выполнил.

 

 

FRST.zip

[thyrex]

Удалите МВАМ через Установку программ.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhgjacefjfpgfndglmkecjennblphpbj
OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
C:\Users\Admin\AppData\Roaming\Opera Software
C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\dhbmemjcmckfengfgbffeinmfaoalgdg
Task: {DCFF2F33-7ED2-4CC1-AB76-5700FE453E1E} - System32\Tasks\ChrxTask => "C:\Program Files\Google\Chrome\Application\chrome.exe" --load-extension=C:\Windows\Temp\Chrx --user-data-dir=C:\Windows\Temp\ChrxProfile <==== ВНИМАНИЕ
C:\Users\Admin\AppData\Local\Yandex\YandexBrowser
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

Сделайте лог AdwCleaner (самостоятельно ничего не удаляйте) 

[Dimas999]

Выполнил.

 

 

AdwCleaner[S00].txt Fixlog.txt

[thyrex]

Удалите в AdwCleaner только указанные записи

PUP.Optional.Legacy             C:\ProgramData\Tencent
PUP.Optional.Legacy             C:\Users\Admin\AppData\Local\Tencent
PUP.Optional.Legacy             C:\Users\Admin\AppData\Roaming\Tencent
PUP.Optional.Legacy             C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Tencent
PUP.Optional.MediaGet           HKCU\Software\Media Get LLC
PUP.Optional.BrowserHijack      https://find-it.pro/?utm_source=distr_m
PUP.Optional.LockHomepage       https://find-it.pro/?utm_source=distr_m

 

[Dimas999]

Выполнил.