[РЕШЕНО] HEUR:Trojan.Win64.Miner.gen Не удаляется

[Heppy301 0]

report2.logreport1.logCollectionLog-2021.07.05-13.46.zip

Здравствуйте Этот вирус возникает каждый раз при перезагрузке компьютера.Сначала был вирус с папкой CSGO и я удалил , потом возникла другая папка FingerPrint, которая постоянно востанавливаеться и идёт запуск этой программы перепробовал всё возможное и все программы даже для троянов обходят эту папку и всё идёт по новой. Посоветуйте что делать.

[thyrex 1 468]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('Transmission', 4);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 DeleteService('WCAssistantService');
 DeleteService('Transmission');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Heppy301 0]

33 минуты назад, thyrex сказал:

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('Transmission', 4);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 DeleteService('WCAssistantService');
 DeleteService('Transmission');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Всё выполнил получилось следующее report2.logreport1.logCollectionLog-2021.07.05-15.38.zip

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Heppy301 0]

12 минут назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

FRST.zip Вот здесь находятся оба файла

[thyrex 1 468]

Ace Stream Media 3.1.32 удалите через Установку Программ.

 

GridinSoft Anti-Malware тоже удалите.

 

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Folder: C:\ProgramData\FingerPrint
HKU\S-1-5-21-4275712856-2314694416-3273993393-1001\...\Run: [GalaxyClient] => [X]
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-06-26 23:03 - 2021-07-05 15:29 - 000000000 ____D C:\Program Files (x86)\Transmission
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-4275712856-2314694416-3273993393-1001\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{AB811E38-52A7-463F-AE3D-8B4BF46D5180}] => (Allow) C:\Users\laton\AppData\Roaming\ACEStream\engine\ace_engine.exe (INNOVATIVE DIGITAL TECHNOLOGIES LLC -> Innovative Digital Technologies)
FirewallRules: [{02A055F2-10BF-444C-B690-A8DDED57BF9C}] => (Allow) C:\Users\laton\AppData\Roaming\ACEStream\engine\ace_engine.exe (INNOVATIVE DIGITAL TECHNOLOGIES LLC -> Innovative Digital Technologies)
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Heppy301 0]

13 минут назад, thyrex сказал:

Ace Stream Media 3.1.32 удалите через Установку Программ.

 

GridinSoft Anti-Malware тоже удалите.

 

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Folder: C:\ProgramData\FingerPrint
HKU\S-1-5-21-4275712856-2314694416-3273993393-1001\...\Run: [GalaxyClient] => [X]
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-06-26 23:03 - 2021-07-05 15:29 - 000000000 ____D C:\Program Files (x86)\Transmission
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-4275712856-2314694416-3273993393-1001\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{AB811E38-52A7-463F-AE3D-8B4BF46D5180}] => (Allow) C:\Users\laton\AppData\Roaming\ACEStream\engine\ace_engine.exe (INNOVATIVE DIGITAL TECHNOLOGIES LLC -> Innovative Digital Technologies)
FirewallRules: [{02A055F2-10BF-444C-B690-A8DDED57BF9C}] => (Allow) C:\Users\laton\AppData\Roaming\ACEStream\engine\ace_engine.exe (INNOVATIVE DIGITAL TECHNOLOGIES LLC -> Innovative Digital Technologies)
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Всё выполнил Fixlog.txt

[thyrex 1 468]

В папке C:\ProgramData\FingerPrint тоже находит майнер? Если эта папка Вам неизвестна, то попробуйте сейчас её удалить и проверьте, воскреснет ли она после перезагрузки

[Heppy301 0]

10 минут назад, thyrex сказал:

В папке C:\ProgramData\FingerPrint тоже находит майнер? Если эта папка Вам неизвестна, то попробуйте сейчас её удалить и проверьте, воскреснет ли она после перезагрузки

Да это та самая папка от которой исходит зло. Я удалил и удалил из корзины , но проблема была ещё в том что она всё-таки через какой-то промежуток времени возвращалась. Вот как 3 ночи я сидел она вернулась и потом я как раз сегодня пришёл сюда. Поэтому не знаю конец это или нет , вдруг воскреснет снова.

P.S после этой презагрузки папка не воскресла 

[thyrex 1 468]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[Heppy301 0]

4 минуты назад, thyrex сказал:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

 

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 05.07.2021 17:20:19
Path starting: C:\Users\laton\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: laton
VersionXML: 8.90is-03.07.2021
___________________________________________________________________________

Windows 10(6.3.19042) (x64) Professional Версия: 2009 Lang: Russian(0419)
Дата установки ОС: 21.12.2020 12:11:54
Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Users\laton\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
Системный диск: ? ФС: [NTFS] Емкость: [195.1 Гб] Занято: [115.8 Гб] Свободно: [79.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.789.19041.0
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
Kaspersky Internet Security (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security (включен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.21.3.10.391
Kaspersky Password Manager v.9.0.2.767
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74
Microsoft OneDrive v.21.109.0530.0001
Steam v.2.10.91.91
TeamViewer v.15.19.3 Внимание! Скачать обновления
Intel® Driver & Support Assistant v.21.3.21.5
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
Kaspersky Secure Connection v.21.3.10.391
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.10.5.46011 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.16
------------------------------- [ Browser ] -------------------------------
Opera Stable 77.0.4054.172 v.77.0.4054.172
Yandex v.21.6.0.616
Google Chrome v.91.0.4472.124
Microsoft Edge v.91.0.864.64
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 21.3 (AVP21.3) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\avp.exe v.21.3.0.1
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\avpui.exe v.21.3.12.434
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.3\ksde.exe v.21.3.0.1
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.3\ksdeui.exe v.21.3.12.434
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба остановлена
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Loaris Trojan Remover 3.1.50 v.3.1.50 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Ace Stream Media 3.1.32 v.3.1.32 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Advanced SystemCare v.14.4.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Driver Booster 8 v.8.3.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
IObit Uninstaller 10 v.10.4.0.13 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
The KMPlayer RePack by CUTA v.4.2.2.44 - (build 2) Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
uBlock Pro - #1 Adblocker 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Web Companion v.7.0.2388.4219 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Wondershare Helper Compact 2.5.3 v.2.5.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
C:\Program Files (x86)\IObit\Advanced SystemCare\ASCTray.exe v.14.0.0.886
Advanced SystemCare Service 14 (AdvancedSystemCareService14) - Служба работает
C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe v.14.3.1.180
IObit Uninstaller Service (IObitUnSvr) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

И ещё вопрос Касперский нашёл какой-то файл 

[thyrex 1 468]

16 минут назад, Heppy301 сказал:

И ещё вопрос Касперский нашёл какой-то файл

Это драйвер AVZ.

 

Обновите TeamViewer и Discord, а также обратите внимание на секцию нежелательных программ (UnwantedApps) и удалите все ненужное. На этом закончим лечение.

[Heppy301 0]

3 минуты назад, thyrex сказал:

Это драйвер AVZ.

 

Обновите TeamViewer и Discord, а также обратите внимание на секцию нежелательных программ (UnwantedApps) и удалите все ненужное. На этом закончим лечение.

Значит добавлю в исключение драйвер. Спасибо большое за помощь , в случае если всё вернётся я напишу. Можете на последок дать рекомендации чтобы предотвратить повторное заражение ?

 

[thyrex 1 468]

Я такой же простой пользователь, не имеющий отношения к работе в компании, и мне неизвестно, каким образом зараза проникает на компьютер. Если перед появлением проблемы Вы что-то скачивали из ненадежных источников, то вот Вам направление для поисков причины.

[thyrex 1 468]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".