Перейти к содержанию
Правила раздела

[РЕШЕНО] Trojan.Win64.Miner.gen помогите удалить

Chelsky16

Автор Chelsky16
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

По ссылке пройдите и пришлите нужные логи.

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 DeleteSchedulerTask('bbWbQVdZWqcRGzzEmF.job');
 DeleteFile('C:\Users\Office\AppData\Local\Temp\ohKJkbNKZXeTRfXFc\sTNIBTFzZOllLFh\ExYfmdU.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJackThis из папки Autologger 

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 37.1.207.126


Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Chelsky16

Chelsky16

Опубликовано
  • Автор
Опубликовано
13 минут назад, thyrex сказал:

Выполните скрипт в AVZ из папки Autologger 


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','SystemUsesLightTheme','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','AppsUseLightTheme','x64');
 DeleteSchedulerTask('bbWbQVdZWqcRGzzEmF.job');
 DeleteFile('C:\Users\Office\AppData\Local\Temp\ohKJkbNKZXeTRfXFc\sTNIBTFzZOllLFh\ExYfmdU.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пофиксите в HiJackThis из папки Autologger 


O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{a478b7bc-35cd-4e68-b3fd-556513940854}: [NameServer] = 37.1.207.126


Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 сделал.

CollectionLog-2021.07.04-16.33.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Chelsky16

Chelsky16

Опубликовано
  • Автор
Опубликовано
5 минут назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

1.rar

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-06-26 18:09 - 2021-07-04 16:28 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-06-26 18:09 - 2021-07-02 16:31 - 000000000 ____D C:\ProgramData\CSGOCalc
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{9F8A0791-D952-4D43-8855-67C8875A7E3A}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣楤兂⹡硥e => Нет файла
FirewallRules: [{26F2A76D-B73A-47FB-93B3-640EF11F64C2}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{544A4649-C4E3-43E0-98BC-78A1461D3CFE}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{A8F8D88D-15BA-4C96-8A93-ED7C3300D886}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣煡畎攮數 => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Chelsky16

Chelsky16

Опубликовано
  • Автор
Опубликовано
6 минут назад, thyrex сказал:

1. Выделите следующий код: 


Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-06-26 18:09 - 2021-07-04 16:28 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-06-26 18:09 - 2021-07-02 16:31 - 000000000 ____D C:\ProgramData\CSGOCalc
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-3328371992-1190756434-969399273-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{9F8A0791-D952-4D43-8855-67C8875A7E3A}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣楤兂⹡硥e => Нет файла
FirewallRules: [{26F2A76D-B73A-47FB-93B3-640EF11F64C2}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{544A4649-C4E3-43E0-98BC-78A1461D3CFE}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{A8F8D88D-15BA-4C96-8A93-ED7C3300D886}] => (Allow) 㩃啜敳獲作晦捩履灁䑰瑡屡潒浡湩屧潴屣煡畎攮數 => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

 

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

Удалите старые логи FRST.txt и Addition.txt и сделайте новые логи Farbar

Chelsky16

Chelsky16

Опубликовано
  • Автор
Опубликовано
6 минут назад, thyrex сказал:

Удалите старые логи FRST.txt и Addition.txt и сделайте новые логи Farbar

 

2.rar

thyrex

thyrex

Опубликовано
Опубликовано

Ясно, значит прошлый раз скрипт лечения запустили дважды.

 

Проблема решена?

Chelsky16

Chelsky16

Опубликовано
  • Автор
Опубликовано
11 минут назад, thyrex сказал:

Ясно, значит прошлый раз скрипт лечения запустили дважды.

 

Проблема решена?

из Касперского удалился, два раза перезагружал систему, ничего не "вылизает"

понаблюдаю.

спасибо за решение проблемы!

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • VASILIY13
      Обнаружен вирус - Trojan.Win64.Miner.gen
      Автор VASILIY13
      Добрый день, Kaspersky Internet Security обнаружил Trojan.Win64.Miner.gen (SwiftRescue.exe). В автоматическом режиме вирус не лечится. После перезагрузки появляется опять.
      CollectionLog-2023.12.30-10.39.zip
      CollectionLog-2023.12.30-10.39.zip
      новые логи:
      DESKTOP-1E2DRCJ_2023-12-30_14-23-32_v4.14.7z
      FRST.txt
    • Bruntem
      Trojan.Win64.Miner.gen. Антивирус молчит, DNS подменяется
      Автор Bruntem
      Подхватил какую-то заразу, которую никак не могу излечит. Проявляется подменой DNS и тем, что перестают запускаться программы. Логи собрал.
      Прошу помощи.
       
       
      CollectionLog-2022.05.14-18.18.zip
    • Bruntem
      Похоже Trojan.Win64.Miner.gen. Антивирус молчит, DNS подменяется
      Автор Bruntem
      Подхватил какую-то заразу, которую никак не могу излечит. Проявляется подменой DNS и тем, что перестают запускаться программы. Логи собрал.
      Очень прошу...
       
       logs.zip
    • Avtonomy35
      [РЕШЕНО] Не могу справиться с удалением вируса Trojan.Win64.Miner.gen
      Автор Avtonomy35
      Отчет
      отчет.zip
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/83005-heurtrojanwin64minergen/  
    • HollowStan
      [РЕШЕНО] Не удаляется Trojan.Win64.Miner.gen
      Автор HollowStan
      Здравствуйте! Не удаляется вирус Trojan.Win64.Miner.gen. Касперский предлагает лечить с перезагрузкой, я соглашаюсь. После перезагрузки снова появляется сообщение о вирусе и предложение лечить с перезагрузкой.
      CollectionLog-2021.07.05-22.09.zip
×
×
  • Создать...