Перейти к содержанию
Правила раздела

[РЕШЕНО] Trojan.Win64.Miner.gen помогите удалить

Chelsky16

От Chelsky16
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Chelsky16 Новичок

Chelsky16

Опубликовано
Опубликовано

такая же проблема....

сканирую при помощи Farbar лог прикреплю позже

12.rar

 

Сообщение от модератора thyrex
Перенесено из темы https://forum.kasperskyclub.ru/topic/82943-pomogite-udalit-trojanwin64minergen/

 

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16 Новичок

Chelsky16

Опубликовано
  • Автор
Опубликовано
3 минуты назад, thyrex сказал:

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.

 

прикреплены
 

 

12.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 DeleteSchedulerTask('bbWbQVdZWqcRGzzEmF.job');
 DeleteFile('C:\Users\Office\AppData\Local\Temp\ohKJkbNKZXeTRfXFc\sTNIBTFzZOllLFh\ExYfmdU.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJackThis из папки Autologger 

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 37.1.207.126


Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16 Новичок

Chelsky16

Опубликовано
  • Автор
Опубликовано
13 минут назад, thyrex сказал:

Выполните скрипт в AVZ из папки Autologger 


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 DeleteSchedulerTask('bbWbQVdZWqcRGzzEmF.job');
 DeleteFile('C:\Users\Office\AppData\Local\Temp\ohKJkbNKZXeTRfXFc\sTNIBTFzZOllLFh\ExYfmdU.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пофиксите в HiJackThis из папки Autologger 


O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 37.1.207.126


Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 сделал.

CollectionLog-2021.07.04-16.33.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16 Новичок

Chelsky16

Опубликовано
  • Автор
Опубликовано
5 минут назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

1.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-06-26 18:09 - 2021-07-04 16:28 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-06-26 18:09 - 2021-07-02 16:31 - 000000000 ____D C:\ProgramData\CSGOCalc
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{9F8A0791-D952-4D43-8855-67C8875A7E3A}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣楤兂⹡硥e => Нет файла
FirewallRules: [{26F2A76D-B73A-47FB-93B3-640EF11F64C2}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{544A4649-C4E3-43E0-98BC-78A1461D3CFE}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{A8F8D88D-15BA-4C96-8A93-ED7C3300D886}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣煡畎攮數 => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16 Новичок

Chelsky16

Опубликовано
  • Автор
Опубликовано
6 минут назад, thyrex сказал:

1. Выделите следующий код: 


Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-06-26 18:09 - 2021-07-04 16:28 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-06-26 18:09 - 2021-07-02 16:31 - 000000000 ____D C:\ProgramData\CSGOCalc
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{9F8A0791-D952-4D43-8855-67C8875A7E3A}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣楤兂⹡硥e => Нет файла
FirewallRules: [{26F2A76D-B73A-47FB-93B3-640EF11F64C2}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{544A4649-C4E3-43E0-98BC-78A1461D3CFE}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{A8F8D88D-15BA-4C96-8A93-ED7C3300D886}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣煡畎攮數 => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Chelsky16 Новичок

Chelsky16

Опубликовано
  • Автор
Опубликовано
11 минут назад, thyrex сказал:

Ясно, значит прошлый раз скрипт лечения запустили дважды.

 

Проблема решена?

из Касперского удалился, два раза перезагружал систему, ничего не "вылизает"

понаблюдаю.

спасибо за решение проблемы!

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Александр_38
      [РЕШЕНО] Помогите пожалуйста с удалением вируса MEM:Backdoor.Win32.Insistent.gen и HEUR: Trojan.Win64.Miner.gen
      От Александр_38
      DESKTOP-0MLA7HG_2024-11-02_21-02-48_v4.99.2v x64.7z
       
      Никак не могу справиться с данной проблемой, пытался прочитать на ваших форумах, но не совсем понял.
    • Mausidze
      [РЕШЕНО] Проблема HEUR: Trojan.Win64.Miner.gen не исчезает после полной проверки
      От Mausidze
      Недавно защитник обнаружил файл, который не может нормально удалить или просканировать, решил скачать Kaspersky Premium.
      Провёл несколько быстрых сканов, перезагрузок и полную проверку, но постоянно выдаёт при запуске, что удалённый HEUR:Trojan.Win64.Miner.gen вернулся
      Распознаёт, если пытаться вылечить без перезагрузки, как криптоджекинг
      Прикрепил отчёт программы
      otchet.txt
    • Zakhar62668
      Помогите удалить вирус
      От Zakhar62668
      Виндоус дефендер находит постоянно трояны, но удалить не может, также пытался установить разные антивирусы, но все они не запускаются, вылетают ошибки, а также в исключениях есть файлы, которые не удаляются. Сейчас, посмотрев форум, запустил компьютер в безопасном режиме и через флешку установил фарбар рекавери скан тулс(чтоб запустить его пришлось удалить ограничения в редакторе реестра)
    • Poiluyf
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen помогите удалить
      От Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
    • AndyShugar
      [РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw не удалить!
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
×
×
  • Создать...