[РЕШЕНО] Trojan.Win64.Miner.gen помогите удалить

[Chelsky16]

такая же проблема....

сканирую при помощи Farbar лог прикреплю позже

12.rar

 

Сообщение от модератора thyrex

Перенесено из темы https://forum.kasperskyclub.ru/topic/82943-pomogite-udalit-trojanwin64minergen/

 

[thyrex]

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

[Chelsky16]

3 минуты назад, thyrex сказал:

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.

 

прикреплены
 

 

12.rar

[thyrex]

По ссылке пройдите и пришлите нужные логи.

[Chelsky16]

 

 

CollectionLog-2021.07.04-16.05.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 DeleteSchedulerTask('bbWbQVdZWqcRGzzEmF.job');
 DeleteFile('C:\Users\Office\AppData\Local\Temp\ohKJkbNKZXeTRfXFc\sTNIBTFzZOllLFh\ExYfmdU.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJackThis из папки Autologger

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 37.1.207.126

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Chelsky16]

13 минут назад, thyrex сказал:

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 DeleteSchedulerTask('bbWbQVdZWqcRGzzEmF.job');
 DeleteFile('C:\Users\Office\AppData\Local\Temp\ohKJkbNKZXeTRfXFc\sTNIBTFzZOllLFh\ExYfmdU.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пофиксите в HiJackThis из папки Autologger

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 37.1.207.126

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 сделал.

CollectionLog-2021.07.04-16.33.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Chelsky16]

5 минут назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

1.rar

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-06-26 18:09 - 2021-07-04 16:28 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-06-26 18:09 - 2021-07-02 16:31 - 000000000 ____D C:\ProgramData\CSGOCalc
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{9F8A0791-D952-4D43-8855-67C8875A7E3A}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣楤兂⹡硥e => Нет файла
FirewallRules: [{26F2A76D-B73A-47FB-93B3-640EF11F64C2}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{544A4649-C4E3-43E0-98BC-78A1461D3CFE}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{A8F8D88D-15BA-4C96-8A93-ED7C3300D886}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣煡畎攮數 => Нет файла
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Chelsky16]

6 минут назад, thyrex сказал:

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-06-26 18:09 - 2021-07-04 16:28 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-06-26 18:09 - 2021-07-02 16:31 - 000000000 ____D C:\ProgramData\CSGOCalc
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{9F8A0791-D952-4D43-8855-67C8875A7E3A}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣楤兂⹡硥e => Нет файла
FirewallRules: [{26F2A76D-B73A-47FB-93B3-640EF11F64C2}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{544A4649-C4E3-43E0-98BC-78A1461D3CFE}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{A8F8D88D-15BA-4C96-8A93-ED7C3300D886}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣煡畎攮數 => Нет файла
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Fixlog.txt

[thyrex]

Удалите старые логи FRST.txt и Addition.txt и сделайте новые логи Farbar

[Chelsky16]

6 минут назад, thyrex сказал:

Удалите старые логи FRST.txt и Addition.txt и сделайте новые логи Farbar

 

2.rar

[thyrex]

Ясно, значит прошлый раз скрипт лечения запустили дважды.

 

Проблема решена?

[Chelsky16]

11 минут назад, thyrex сказал:

Ясно, значит прошлый раз скрипт лечения запустили дважды.

 

Проблема решена?

из Касперского удалился, два раза перезагружал систему, ничего не "вылизает"

понаблюдаю.

спасибо за решение проблемы!