Перейти к содержанию
Правила раздела
Викторина о событиях клуба

[РЕШЕНО] Вирус Trojan.Win64.Miner.gen

Dimas999

Автор Dimas999,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

Dimas999

Dimas999 0

Опубликовано
Опубликовано

Здравствуйте. Касперский обнаружил  вирус Trojan.Win64.Miner.gen. Песле лечения с перезагрузкой вирус снова обнаруживается.

CollectionLog-2021.07.04-13.24.zip report1.log report2.log

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1303

Опубликовано
Опубликовано
Цитата

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall
YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1

удалите через Установку программ.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteSchedulerTask('gwfmJCXGm');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты
Dimas999

Dimas999 0

Опубликовано
  • Автор
Опубликовано

Выполнил. До этого произвел действия которые были описаны в похожем посте. Вирус больше не показывает.

CollectionLog-2021.07.04-17.41.zip report1.log report2.log

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1303

Опубликовано
Опубликовано
4 минуты назад, Dimas999 сказал:

До этого произвел действия которые были описаны в похожем посте

Повезло, что систему не завалили. Скрипты пишутся индивидуально для каждого пострадавшего, несмотря на похожие симптомы.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1303

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Tcpip\..\Interfaces\{69bb0b86-310c-4a8c-a6c3-fdfe89a11977}: [NameServer] 178.175.133.58,37.1.207.126
OPR Extension: (YoutubeDownloader) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhgjacefjfpgfndglmkecjennblphpbj [2021-03-30]
OPR Extension: (Find-it.pro) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig [2021-03-30]
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN Extension: (Find-It.Pro) - C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\dhbmemjcmckfengfgbffeinmfaoalgdg [2021-03-30]
The1Adblocker 1.0.0.0 (HKLM-x32\...\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}) (Version: 1.0.0.0 - The1Adblocker) Hidden
AlternateDataStreams: C:\Users\Admin\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Admin\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [486]
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
SearchScopes: HKU\S-1-5-21-2793500954-2662295403-356183943-1000 -> DefaultScope 64c288e8-b2c3-11ea-b4f6-d45d64058f02 URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2793500954-2662295403-356183943-1000 -> 64c288e8-b2c3-11ea-b4f6-d45d64058f02 URL = hxxp://search-cdn.net/fip/?q={searchTerms}
FirewallRules: [{288B166F-8A09-4C22-B9EE-75F37726775E}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Animaze\Bin\AnimazeDesktop.exe => Нет файла
FirewallRules: [{C51F7D71-A2EB-4CC1-8D9F-0CE1C4A301B9}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Animaze\Bin\AnimazeDesktop.exe => Нет файла
FirewallRules: [{83A12DB4-2E5F-4F3A-AC47-2E2A30E153A9}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Crossout\launcher.exe => Нет файла
FirewallRules: [{6A4392AA-89BF-4F55-B1EF-A6A2B5549241}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\Crossout\launcher.exe => Нет файла
FirewallRules: [{ACCD6406-A388-425A-865E-7177545481BF}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{F6B4C94C-E816-4E6D-846B-B9E45394A84C}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{EF5B18E3-4005-4EDC-B0F8-93D8321F2E55}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{D52B52DC-C238-42CD-B13E-9F9769EDAC5D}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{B41FF918-0366-4382-A6B9-5140445B870B}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{99D8F520-9F1D-4D4E-A8DB-AF46F308E965}] => (Allow) D:\Program Files\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [UDP Query User{5892814D-1708-4608-89BE-B1981B4383BF}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{E247F18E-4D1C-48BC-A7A1-2C54E0944C86}C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe] => (Allow) C:\program files (x86)\pubglite\client\shadowtrackerextra\binaries\win64\pubglite-win64-shipping.exe => Нет файла
FirewallRules: [{57512958-F7B2-4389-B0CF-FCC49F939556}] => (Allow) C:\Users\Admin\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{59D852CD-BD20-471A-B115-4F582C7DF04B}] => (Allow) C:\Users\Admin\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{9D282CA0-8F33-4AFF-93B3-D54477E2923A}] => (Allow) D:\Programs\RaidCall.RU\rcplugin.exe => Нет файла
FirewallRules: [{63CD5C6F-0798-4581-BA9C-23ABCF339592}] => (Allow) D:\Programs\RaidCall.RU\rcplugin.exe => Нет файла
FirewallRules: [{4E6B12BE-D299-421D-81AD-91170AA05415}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\DOOMEternal\idTechLauncher.exe => Нет файла
FirewallRules: [{1BADA727-50B8-4F4F-93AF-E91B3D809562}] => (Allow) D:\Игры\SteamLibrary\steamapps\common\DOOMEternal\idTechLauncher.exe => Нет файла
FirewallRules: [UDP Query User{FC7961A9-B400-440E-808C-618497AE5D0D}C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{0D7511C1-DA58-4F61-B744-D64DA410B95A}C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg_experimental\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{01D46027-18AC-411A-9425-74762596F014}] => (Allow) C:\Users\Admin\AppData\Local\Temp\DriverPack-20200621123839\tools\aria2c.exe => Нет файла
FirewallRules: [UDP Query User{BDE2D3BA-8538-41AD-B290-88A36F37FE95}C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe] => (Block) C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{7DC00EDF-CCF5-4D95-B454-42669E99920F}C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe] => (Block) C:\program files (x86)\steam\steamapps\common\pubg_test\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [{9E622F0E-416A-4E9E-8A24-274018D5A83D}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{0BF7F177-8355-47F4-BD49-BAB3497989E4}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{9C94ABBD-DBFB-450F-8446-D76DE2DA54ED}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => Нет файла
FirewallRules: [{7C9BFB59-B7CF-4D44-B96B-74338B440B2E}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{FE48F357-95B8-450E-A910-A6E03A2E1616}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯呜祮䌸攮數 => Нет файла
FirewallRules: [{30511753-3534-4C6E-94DB-569FDEED4ED4}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{39E01851-E6D2-4C93-B0FA-083057A55CA1}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{7A33907F-9522-4D47-95C3-E0DDC6756920}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯牜桪⹫硥e => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Цитата

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall
YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1

так и не удалили

Ссылка на сообщение
Поделиться на другие сайты
Dimas999

Dimas999 0

Опубликовано
  • Автор
Опубликовано

Выполнил.

 

The1Adblocker 1.0.0.0 [2021/03/30 12:38:56]-->"C:\ProgramData\Package Cache\{d7a96f42-98f0-4b7e-bf2d-44761aca52c1}\setup-win32-bundle.exe"  /uninstall - в установке программ нет. setup-win32-bundle.exe в указанов пути нет.

YoutubeDownloader [2021/03/30 12:40:27]-->rundll32 "C:\Program Files (x86)\CQCvUThzDNUn\mQXysYA.dll",#1 - в установке программ есть, но не удаляется. В указанном пути папка CQCvUThzDNUn отсутствует.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1303

Опубликовано
Опубликовано

Удалите (поместите в карантин) в МВАМ все найденные записи.

 

После этого удалите старые логи FRST.txt и Addition.txt и сделайте новые логи Farbar.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1303

Опубликовано
Опубликовано

Удалите МВАМ через Установку программ.

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhgjacefjfpgfndglmkecjennblphpbj
OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
C:\Users\Admin\AppData\Roaming\Opera Software
C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\dhbmemjcmckfengfgbffeinmfaoalgdg
Task: {DCFF2F33-7ED2-4CC1-AB76-5700FE453E1E} - System32\Tasks\ChrxTask => "C:\Program Files\Google\Chrome\Application\chrome.exe" --load-extension=C:\Windows\Temp\Chrx --user-data-dir=C:\Windows\Temp\ChrxProfile <==== ВНИМАНИЕ
C:\Users\Admin\AppData\Local\Yandex\YandexBrowser
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

Сделайте лог AdwCleaner (самостоятельно ничего не удаляйте) 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1303

Опубликовано
Опубликовано

Удалите в AdwCleaner только указанные записи 

PUP.Optional.Legacy             C:\ProgramData\Tencent
PUP.Optional.Legacy             C:\Users\Admin\AppData\Local\Tencent
PUP.Optional.Legacy             C:\Users\Admin\AppData\Roaming\Tencent
PUP.Optional.Legacy             C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Tencent
PUP.Optional.MediaGet           HKCU\Software\Media Get LLC
PUP.Optional.BrowserHijack      https://find-it.pro/?utm_source=distr_m
PUP.Optional.LockHomepage       https://find-it.pro/?utm_source=distr_m

 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Vitalie
      С часто просматриваемые мною сайты перекидывает на других
      От Vitalie
      Захожу на проверенные сайты как gismeteo.ru, football24.ru, sports.ru и.т.д. и появляется ошибка от касперского что у этих сайтов истек сертификат, а по факту это не так. 
       
      Пример: 


       
      Если убрать защиту то меня перекидывает на разные сайты с знакомставами или порно.
       
      Два раза сделал полную проверку и ничего не находит антивирус
       

       
      Такое во всех браузерах. Если зайти на очень популярные сайты как youtube, google, yandex, facebook, vk то не появляется ошибка. Даже на этот форум не сразу мог зарегистрироваться, так как выкидывало на другие сайты. 
       
      Помогите решить проблему. Не хочется переустанавливать систему, но не факт что это поможет. 
       
      Данные о системе:
      Выпуск    Windows 10 Pro
      Версия    21H1
      Дата установки    ‎15.‎09.‎2020
      Сборка ОС    19043.1466
      Взаимодействие    Windows Feature Experience Pack 120.2212.3920.0
       
      Об этом сначала писал тут: https://community.kaspersky.com/voprosy-svyazannye-s-virusami-i-shifrovalshchikami-158/pervyy-raz-stalkivayus-s-takim-virusom-22760?postid=98172#post98172
       
      Мне написали что тут могут мне помочь. 
       
       
      CollectionLog-2022.01.27-13.33.zip
    • Анатолий Мартынов
      Переодичная попытка загрузки вируса с сайта
      От Анатолий Мартынов
      Добрый вечер! У меня сегодня та же проблема, отчеты в пристежке.
      Addition.txt FRST.txt
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Переодичная попытка загрузки вируса с сайта  
    • c0ral0vii1
      Powershell.exe нагружает процессор и видеокарту!
      От c0ral0vii1
      Что делать, столкнулся с проблемой во время бездействия это примерно 5 - 10 минут, начинает нагружаться система, процессор на 50% видеокарта на 100%(нагружается именно видеопамять). При открытии диспетчера задач нагрузка пропадает, тот же самый эффект производит и отключение компьютера от сети!
      Проверял Dr. Web Curelt нашло шифровальщик, но майнер не удалило, что можно сделать? 
      Если вам нужна какая либо дополнительная информация пишите в комментарии, на всё отвечу!
      В файлах 2 лога, N1 во время простоя но без активного вируса, то есть он ещё не нагружает систему, а N2 уже где вирус нагружает систему, но не так сильно, он как будто понял что я за ним слежу и не сильно начал нагружать систему, но всё равно её нагружал.
      N1 CollectionLog-2022.01.23-15.31.zip N2 CollectionLog-2022.01.23-16.21.zip
    • Baki
      Угонщик браузера d.abcweathercast.xyz и m.nearbyme.io не дает покоя
      От Baki
      Угонщик браузера d.abcweathercast.xyz и m.nearbyme.io не дает покоя что делать?? Пытался удалить даже ваш антивирус не помогает. Пишет что в безопасности но как открываешь браузер сразу выскакивает поисковая система m.nearbyme.io с результатами. Помогите пжст!
    • NoEndOutcry
      Подозрение на вирусы
      От NoEndOutcry
      Добрый день. История началась тут 
       Проблему с основным ПК мне помогли решить, и эта история навела меня на мысль что нужно проверить и ноутбук, который стал подозрительно быстро садиться, стал иногда работать в закрытом состоянии и иногда подтупливать, не смотря на конфигурацию. 
      Проверки касперским и дрвебом - нашли пару-тройку опасных файлов и удалили их. После удаления прогнал скрипт сбора логов - результат прикладываю. 
       
      CollectionLog-2022.01.19-11.05.zip
×
×
  • Создать...