Перейти к содержанию
Правила раздела

[РЕШЕНО] Trojan.Win64.Miner.gen помогите удалить

Chelsky16

Автор Chelsky16
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Chelsky16

Chelsky16

Опубликовано
Опубликовано

такая же проблема....

сканирую при помощи Farbar лог прикреплю позже

12.rar

 

Сообщение от модератора thyrex
Перенесено из темы https://forum.kasperskyclub.ru/topic/82943-pomogite-udalit-trojanwin64minergen/

 

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16

Chelsky16

Опубликовано
  • Автор
Опубликовано
3 минуты назад, thyrex сказал:

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.

 

прикреплены
 

 

12.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 DeleteSchedulerTask('bbWbQVdZWqcRGzzEmF.job');
 DeleteFile('C:\Users\Office\AppData\Local\Temp\ohKJkbNKZXeTRfXFc\sTNIBTFzZOllLFh\ExYfmdU.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJackThis из папки Autologger 

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 37.1.207.126


Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16

Chelsky16

Опубликовано
  • Автор
Опубликовано
13 минут назад, thyrex сказал:

Выполните скрипт в AVZ из папки Autologger 


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 DeleteSchedulerTask('bbWbQVdZWqcRGzzEmF.job');
 DeleteFile('C:\Users\Office\AppData\Local\Temp\ohKJkbNKZXeTRfXFc\sTNIBTFzZOllLFh\ExYfmdU.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пофиксите в HiJackThis из папки Autologger 


O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 37.1.207.126


Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 сделал.

CollectionLog-2021.07.04-16.33.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16

Chelsky16

Опубликовано
  • Автор
Опубликовано
5 минут назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

1.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-06-26 18:09 - 2021-07-04 16:28 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-06-26 18:09 - 2021-07-02 16:31 - 000000000 ____D C:\ProgramData\CSGOCalc
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{9F8A0791-D952-4D43-8855-67C8875A7E3A}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣楤兂⹡硥e => Нет файла
FirewallRules: [{26F2A76D-B73A-47FB-93B3-640EF11F64C2}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{544A4649-C4E3-43E0-98BC-78A1461D3CFE}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{A8F8D88D-15BA-4C96-8A93-ED7C3300D886}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣煡畎攮數 => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16

Chelsky16

Опубликовано
  • Автор
Опубликовано
6 минут назад, thyrex сказал:

1. Выделите следующий код: 


Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-06-26 18:09 - 2021-07-04 16:28 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-06-26 18:09 - 2021-07-02 16:31 - 000000000 ____D C:\ProgramData\CSGOCalc
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{9F8A0791-D952-4D43-8855-67C8875A7E3A}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣楤兂⹡硥e => Нет файла
FirewallRules: [{26F2A76D-B73A-47FB-93B3-640EF11F64C2}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{544A4649-C4E3-43E0-98BC-78A1461D3CFE}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{A8F8D88D-15BA-4C96-8A93-ED7C3300D886}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣煡畎攮數 => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16

Chelsky16

Опубликовано
  • Автор
Опубликовано
11 минут назад, thyrex сказал:

Ясно, значит прошлый раз скрипт лечения запустили дважды.

 

Проблема решена?

из Касперского удалился, два раза перезагружал систему, ничего не "вылизает"

понаблюдаю.

спасибо за решение проблемы!

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ольга Кот
      [РЕШЕНО] Trojan.Win64.Miner.gen, MEM:Backdoor.Win32.Insistent.gen
      Автор Ольга Кот
      Здравствуйте!
      Антивирус выявил вредоносные приложения (скрин прилагаю). Trojan и MEM:Backdoor.Win32.Insistent.gen.  Всегда ссылается на файл svchost.exe и еще может подтянуть другие. "Лечение с перезагрузкой" не помогает, пробовали руками удалять папки, но после перезагрузки все восстанавливается. Скорее всего подцепили эту заразу в 24.06 - 27.06, ноутбук периодически стал шуметь в спящем режиме и греться, майнингом не занимаемся. Просим оказать содействие в решении этих проблем. Скачала сразу программу для логов, прилагаю файл.

      CollectionLog-2025.07.01-15.08.zip
    • Shytnik
      [РЕШЕНО] Trojan.Win64.Agent.smekzx
      Автор Shytnik
      Здравствуйте. В один момент перестало работать всё с ошибкой «Отказано в доступе». «Касперский» нашел этот вирус и вроде как успешно вылечил с перезагрузкой.
       
      После удаления автоматически запустилась проверка, которая по непонятным причинам сама по себе приостанавливалась три раза. Также по какой-то причине переставали грузиться на некоторое время сайты. Посчитал, что это какое-то подозрительное поведение, и отключил на всякий случай интернет. «Касперский» завершил сканирование и удалил еще кучу скриптов из папки браузера.
       
      В интернете нашел страницу на «Ответах» Mail.ru, где человек писал, что этот вирус после удаления «Касперским» «воскресает». Немного беспокоит эта перспектива, т. к. переустанавливать Windows не хочется. Можно как-то проверить, осталась ли эта гадость в системе?
      CollectionLog-2025.07.04-16.29.zip
    • Dmdozors1982
      [РЕШЕНО] Помогите удалить tool.btcmine.2794
      Автор Dmdozors1982
      Добрый день, помогите удалить майнер tool.btcmine.2794. Обезвредил его с помощью Curelt, сделал лог, прикрепил
      CollectionLog-2025.07.09-21.11.zip
    • HOUSEDause
      Помогите удалить вирус taskhost.exe
      Автор HOUSEDause
      Удалял вирус полностью и через безопасный режим, как только не пытался.
      Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
      Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
      ПОМОГИТИ
      Не скачиваются антивирусы
    • Чилипиздрик
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста
      Автор Чилипиздрик
      Здравствуйте! Подцепила на просторах интернета указанный MEM:Trojan.Win32.SEPEH.gen Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Дальше делает вид, что работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
      CollectionLog-2025.06.18-20.38.zip
×
×
  • Создать...