Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

[РЕШЕНО] Trojan.Win64.Miner.gen помогите удалить

Chelsky16

Автор Chelsky16
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Chelsky16 Новичок

Chelsky16

Опубликовано
Опубликовано

такая же проблема....

сканирую при помощи Farbar лог прикреплю позже

12.rar

 

Сообщение от модератора thyrex
Перенесено из темы https://forum.kasperskyclub.ru/topic/82943-pomogite-udalit-trojanwin64minergen/

 

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16 Новичок

Chelsky16

Опубликовано
  • Автор
Опубликовано
3 минуты назад, thyrex сказал:

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.

 

прикреплены
 

 

12.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 DeleteSchedulerTask('bbWbQVdZWqcRGzzEmF.job');
 DeleteFile('C:\Users\Office\AppData\Local\Temp\ohKJkbNKZXeTRfXFc\sTNIBTFzZOllLFh\ExYfmdU.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJackThis из папки Autologger 

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 37.1.207.126


Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16 Новичок

Chelsky16

Опубликовано
  • Автор
Опубликовано
13 минут назад, thyrex сказал:

Выполните скрипт в AVZ из папки Autologger 


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 DeleteSchedulerTask('bbWbQVdZWqcRGzzEmF.job');
 DeleteFile('C:\Users\Office\AppData\Local\Temp\ohKJkbNKZXeTRfXFc\sTNIBTFzZOllLFh\ExYfmdU.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пофиксите в HiJackThis из папки Autologger 


O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 37.1.207.126


Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 сделал.

CollectionLog-2021.07.04-16.33.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16 Новичок

Chelsky16

Опубликовано
  • Автор
Опубликовано
5 минут назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

1.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-06-26 18:09 - 2021-07-04 16:28 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-06-26 18:09 - 2021-07-02 16:31 - 000000000 ____D C:\ProgramData\CSGOCalc
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{9F8A0791-D952-4D43-8855-67C8875A7E3A}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣楤兂⹡硥e => Нет файла
FirewallRules: [{26F2A76D-B73A-47FB-93B3-640EF11F64C2}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{544A4649-C4E3-43E0-98BC-78A1461D3CFE}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{A8F8D88D-15BA-4C96-8A93-ED7C3300D886}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣煡畎攮數 => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16 Новичок

Chelsky16

Опубликовано
  • Автор
Опубликовано
6 минут назад, thyrex сказал:

1. Выделите следующий код: 


Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-06-26 18:09 - 2021-07-04 16:28 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-06-26 18:09 - 2021-07-02 16:31 - 000000000 ____D C:\ProgramData\CSGOCalc
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{9F8A0791-D952-4D43-8855-67C8875A7E3A}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣楤兂⹡硥e => Нет файла
FirewallRules: [{26F2A76D-B73A-47FB-93B3-640EF11F64C2}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{544A4649-C4E3-43E0-98BC-78A1461D3CFE}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{A8F8D88D-15BA-4C96-8A93-ED7C3300D886}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣煡畎攮數 => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16 Новичок

Chelsky16

Опубликовано
  • Автор
Опубликовано
11 минут назад, thyrex сказал:

Ясно, значит прошлый раз скрипт лечения запустили дважды.

 

Проблема решена?

из Касперского удалился, два раза перезагружал систему, ничего не "вылизает"

понаблюдаю.

спасибо за решение проблемы!

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • qqjwjjj
      Помогите удалить вирусы
      Автор qqjwjjj
      Когда я сегодня проснулся я увидел что у иконок на рабочем столе нет названий и через какое-то время они появились потом я увидел что с права снизу у меня нет времени и ещё когда я зашёл в проводник там всё было без названий и ещё у меня не работает кнопка пуск и поисковая строка и когда я пытался скачать dr web у меня выходила ошибка у меня сейчас 360 security я им сканировал на вирусы несколько раз и не чего не помогало перезагружал компьютер и не чего переустановить виндоус не могу флешки нету
    • RedKaroliner
      [РЕШЕНО] Удалены ли трояны
      Автор RedKaroliner
      Здравствуйте!
      Использовал антивирус Касперского 3 раза. После первого и второго сканирования он показывал наличие троянов, я выбирал везде пункт "удалить". В третий раз после сканирования ничего не обнаружил. Хотелось бы понять, остались ли на компьютере трояны, или он чист.
      CollectionLog-2025.03.24-17.46.zip
    • ggruzin
      Помогите удалить вирус - автокликер
      Автор ggruzin
      Здравствуйте, помогите удалить вирус авто кликcollectionLog.rarер. Не находится анти вирусами kaspersky free, malwarebytes , лечащей утилитой KVRT
      поймал на какой то копии сайта kinogo
      Заранее спасибо!
    • Мамай
      [РЕШЕНО] Удалить MEM:Trojan.Multi.Agent.gen
      Автор Мамай
      Здравствуйте. Антивирус постоянно находит вирус MEM:Trojan.Multi.Agent.gen в разных файлах, один постоянный connhot и еще но разные. Удаляю при перезагрузке, но при новом поиске снова находит. Помогите удалить. Отсканировал в программе Farbar Recovery Scan Tool, результат прикладываю. 


      CollectionLog-2025.03.07-12.02.zip FRST.rar
    • Ян Том
      [РЕШЕНО] HEUR:Trojan.Multi.Runner.t HEUR:Trojan.Win32.Miner.gen
      Автор Ян Том
      Добрый день!
      Компьютер словил HEUR:Trojan.Win32.Miner.gen HEUR:Trojan.Multi.Runner.t. 
      Прогнал CureIt, и KVR, а также AutoLogger.
       
      Спасибо!
      CollectionLog-2025.04.09-21.33.zip
×
×
  • Создать...