Перейти к содержанию
Правила раздела

[РЕШЕНО] Не удаляется Trojan.Win64.Miner.gen

HollowStan

Автор HollowStan
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

HollowStan

HollowStan

Опубликовано
Опубликовано

Здравствуйте! Не удаляется вирус Trojan.Win64.Miner.gen. Касперский предлагает лечить с перезагрузкой, я соглашаюсь. После перезагрузки снова появляется сообщение о вирусе и предложение лечить с перезагрузкой.

CollectionLog-2021.07.05-22.09.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('Transmission', 4);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 DeleteService('Transmission');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJackThis из папки Autologger 

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{bf2f07b5-0f45-4f83-aa8d-eb43d6522518}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{bf2f07b5-0f45-4f83-aa8d-eb43d6522518}: [NameServer] = 37.1.207.126

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

HollowStan

HollowStan

Опубликовано
  • Автор
Опубликовано
17 минут назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

Farbar Recovery Scan Tool.zip

thyrex

thyrex

Опубликовано
Опубликовано

WindowsRar 5.72.0.5625 удалите через Установку программ.

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
Folder: C:\ProgramData\FingerPrint
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820330","hxxp://www.trotux.com/?z=aaa8a10c1b029b9a652abcag4z2m8e1g3qcc3w8ocz&from=fss&uid=ST9500325AS_S2WCQN0EXXXXS2WCQN0E&type=hp","hxxp://www.trotux.com/?z=91128886ceae7006aeae8a2g6z0m6o7w6bfo1b9wcc&from=fss&uid=ST9500325AS_S2WCQN0EXXXXS2WCQN0E&type=hp","hxxp://startface.net/","hxxps://mail.ru/cnt/10445?gp=812205"
2021-06-27 15:26 - 2021-07-05 23:48 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-06-27 15:26 - 2021-07-01 22:01 - 000000000 ____D C:\ProgramData\CSGOCalc
Toolbar: HKU\S-1-5-21-61110243-2605692724-3604588484-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
FirewallRules: [{7426846E-2B0E-4A60-B1E2-276D034B6981}] => (Allow) C:\Users\Hollow\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{D6252161-6C51-48A1-933E-03D34D85AC29}] => (Allow) C:\Users\Hollow\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{E4E4365B-2762-4582-B908-9750EC2B375E}] => (Allow) D:\Games\Steam\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe => Нет файла
FirewallRules: [{AAF07510-0067-432B-9116-12EDCE2B3249}] => (Allow) D:\Games\Steam\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe => Нет файла
FirewallRules: [{2B55326A-FB12-495E-9CC0-4073669A16ED}] => (Allow) D:\Games\Steam\steamapps\common\Miscreated\Bin64\Miscreated.exe => Нет файла
FirewallRules: [{5E3863FA-82A5-4000-AA8B-62DBA99D6BFD}] => (Allow) D:\Games\Steam\steamapps\common\Miscreated\Bin64\Miscreated.exe => Нет файла
FirewallRules: [{F0994652-0C24-475B-B8CF-8FF6C914A099}] => (Allow) D:\Games\Steam\steamapps\common\Miscreated\EasyAntiCheat\EasyAntiCheat_x64.dll => Нет файла
FirewallRules: [{10B04760-3824-4EDD-A882-3EF418A85C38}] => (Allow) D:\Games\Steam\steamapps\common\Miscreated\EasyAntiCheat\EasyAntiCheat_x64.dll => Нет файла
FirewallRules: [TCP Query User{3FE972C5-6407-4449-85FA-A00AEE36CEAB}D:\games\steam\steamapps\common\scum\scum\binaries\win64\scum.exe] => (Allow) D:\games\steam\steamapps\common\scum\scum\binaries\win64\scum.exe => Нет файла
FirewallRules: [UDP Query User{41863494-FD20-4149-A0E3-E45E6C69083F}D:\games\steam\steamapps\common\scum\scum\binaries\win64\scum.exe] => (Allow) D:\games\steam\steamapps\common\scum\scum\binaries\win64\scum.exe => Нет файла
FirewallRules: [TCP Query User{FED27A11-0433-4892-B1CC-AAB2C2C3F92B}D:\games\steam\steamapps\common\arma 3\arma3_x64.exe] => (Allow) D:\games\steam\steamapps\common\arma 3\arma3_x64.exe => Нет файла
FirewallRules: [UDP Query User{DE248B60-72C9-441E-A3D2-D2507B190080}D:\games\steam\steamapps\common\arma 3\arma3_x64.exe] => (Allow) D:\games\steam\steamapps\common\arma 3\arma3_x64.exe => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

HollowStan

HollowStan

Опубликовано
  • Автор
Опубликовано
9 минут назад, thyrex сказал:

WindowsRar 5.72.0.5625 удалите через Установку программ.

 

1. Выделите следующий код: 


Start::
CreateRestorePoint:
Folder: C:\ProgramData\FingerPrint
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820330","hxxp://www.trotux.com/?z=aaa8a10c1b029b9a652abcag4z2m8e1g3qcc3w8ocz&from=fss&uid=ST9500325AS_S2WCQN0EXXXXS2WCQN0E&type=hp","hxxp://www.trotux.com/?z=91128886ceae7006aeae8a2g6z0m6o7w6bfo1b9wcc&from=fss&uid=ST9500325AS_S2WCQN0EXXXXS2WCQN0E&type=hp","hxxp://startface.net/","hxxps://mail.ru/cnt/10445?gp=812205"
2021-06-27 15:26 - 2021-07-05 23:48 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-06-27 15:26 - 2021-07-01 22:01 - 000000000 ____D C:\ProgramData\CSGOCalc
Toolbar: HKU\S-1-5-21-61110243-2605692724-3604588484-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
FirewallRules: [{7426846E-2B0E-4A60-B1E2-276D034B6981}] => (Allow) C:\Users\Hollow\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{D6252161-6C51-48A1-933E-03D34D85AC29}] => (Allow) C:\Users\Hollow\AppData\Local\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{E4E4365B-2762-4582-B908-9750EC2B375E}] => (Allow) D:\Games\Steam\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe => Нет файла
FirewallRules: [{AAF07510-0067-432B-9116-12EDCE2B3249}] => (Allow) D:\Games\Steam\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe => Нет файла
FirewallRules: [{2B55326A-FB12-495E-9CC0-4073669A16ED}] => (Allow) D:\Games\Steam\steamapps\common\Miscreated\Bin64\Miscreated.exe => Нет файла
FirewallRules: [{5E3863FA-82A5-4000-AA8B-62DBA99D6BFD}] => (Allow) D:\Games\Steam\steamapps\common\Miscreated\Bin64\Miscreated.exe => Нет файла
FirewallRules: [{F0994652-0C24-475B-B8CF-8FF6C914A099}] => (Allow) D:\Games\Steam\steamapps\common\Miscreated\EasyAntiCheat\EasyAntiCheat_x64.dll => Нет файла
FirewallRules: [{10B04760-3824-4EDD-A882-3EF418A85C38}] => (Allow) D:\Games\Steam\steamapps\common\Miscreated\EasyAntiCheat\EasyAntiCheat_x64.dll => Нет файла
FirewallRules: [TCP Query User{3FE972C5-6407-4449-85FA-A00AEE36CEAB}D:\games\steam\steamapps\common\scum\scum\binaries\win64\scum.exe] => (Allow) D:\games\steam\steamapps\common\scum\scum\binaries\win64\scum.exe => Нет файла
FirewallRules: [UDP Query User{41863494-FD20-4149-A0E3-E45E6C69083F}D:\games\steam\steamapps\common\scum\scum\binaries\win64\scum.exe] => (Allow) D:\games\steam\steamapps\common\scum\scum\binaries\win64\scum.exe => Нет файла
FirewallRules: [TCP Query User{FED27A11-0433-4892-B1CC-AAB2C2C3F92B}D:\games\steam\steamapps\common\arma 3\arma3_x64.exe] => (Allow) D:\games\steam\steamapps\common\arma 3\arma3_x64.exe => Нет файла
FirewallRules: [UDP Query User{DE248B60-72C9-441E-A3D2-D2507B190080}D:\games\steam\steamapps\common\arma 3\arma3_x64.exe] => (Allow) D:\games\steam\steamapps\common\arma 3\arma3_x64.exe => Нет файла
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

 

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

Папку C:\ProgramData\FingerPrint удалите вручную и проверьте, не воскреснет ли она после перезагрузки.

  • Спасибо (+1) 1
HollowStan

HollowStan

Опубликовано
  • Автор
Опубликовано

Спасибо большое за помощь!

Перезагрузил компьютер 4 раза, папка не появлялась и касперский не ругался.

 

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
HollowStan

HollowStan

Опубликовано
  • Автор
Опубликовано
Цитата

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 06.07.2021 01:56:55
Path starting: C:\Users\Hollow\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Hollow
VersionXML: 8.90is-03.07.2021
___________________________________________________________________________

Windows 10(6.3.17763) (x64) EnterpriseS Версия: 1809 Lang: Russian(0419)
Дата установки ОС: 15.10.2019 03:32:17
Статус лицензии: Windows(R), EnterpriseS edition Срок истечения многопользовательской активации: 8699777 мин.
Статус лицензии: Office 19, Office19ProPlus2019R_Grace edition Windows находится в режиме уведомления
Статус лицензии: Office 19, Office19ProPlus2019MSDNR_Retail edition Windows находится в режиме уведомления
Статус лицензии: Office 19, Office19ProPlus2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 111896 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: ? ФС: [NTFS] Емкость: [111.2 Гб] Занято: [89.8 Гб] Свободно: [21.4 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1790.17763.0 [+]
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Восстановление системы отключено
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
Kaspersky Internet Security (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security (включен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
Kaspersky Internet Security (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.21.3.10.391
Kaspersky Password Manager v.9.0.2.767
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.14026.20308
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74
Steam v.2.10.91.91
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2119.6 Внимание! Скачать обновления
Telegram Desktop, версия 2.7.4 v.2.7.4 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
Kaspersky Secure Connection v.21.3.10.391
--------------------------------- [ P2P ] ---------------------------------
Zona Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
iTunes v.12.11.3.17
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC - Russian v.21.005.20048
------------------------------- [ Browser ] -------------------------------
Google Chrome v.91.0.4472.124
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 21.3 (AVP21.3) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\avp.exe v.21.3.0.1
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\avpui.exe v.21.3.12.434
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.3\ksde.exe v.21.3.0.1
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.3\ksdeui.exe v.21.3.12.434
Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
uBlock Pro - #1 Adblocker 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------

 

thyrex

thyrex

Опубликовано
Опубликовано

Установите обновления указанных программ, удалите uBlock Pro, если сами его не устанавливали. На этом лечение будем считать оконченным.

  • Like (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Canbu
      [РЕШЕНО] Поймал Trojan.Win64.Miner.gen
      Автор Canbu
      Смотрел темы на форуме, но к сожалению не понял как разобраться
    • Ольга Кот
      [РЕШЕНО] Trojan.Win64.Miner.gen, MEM:Backdoor.Win32.Insistent.gen
      Автор Ольга Кот
      Здравствуйте!
      Антивирус выявил вредоносные приложения (скрин прилагаю). Trojan и MEM:Backdoor.Win32.Insistent.gen.  Всегда ссылается на файл svchost.exe и еще может подтянуть другие. "Лечение с перезагрузкой" не помогает, пробовали руками удалять папки, но после перезагрузки все восстанавливается. Скорее всего подцепили эту заразу в 24.06 - 27.06, ноутбук периодически стал шуметь в спящем режиме и греться, майнингом не занимаемся. Просим оказать содействие в решении этих проблем. Скачала сразу программу для логов, прилагаю файл.

      CollectionLog-2025.07.01-15.08.zip
    • VASILIY13
      Обнаружен вирус - Trojan.Win64.Miner.gen
      Автор VASILIY13
      Добрый день, Kaspersky Internet Security обнаружил Trojan.Win64.Miner.gen (SwiftRescue.exe). В автоматическом режиме вирус не лечится. После перезагрузки появляется опять.
      CollectionLog-2023.12.30-10.39.zip
      CollectionLog-2023.12.30-10.39.zip
      новые логи:
      DESKTOP-1E2DRCJ_2023-12-30_14-23-32_v4.14.7z
      FRST.txt
    • ddom3
      поймал троян Trojan.Win64.Miner.gen
      Автор ddom3
      CollectionLog-2023.10.18-18.49.zip
      касперский при включении находит его и предлагает лечение с перезагрузкой, однако после перезагрузки ситуация повторяется
      пробовал лечить по темам с форума, не помогло
    • Mausidze
      [РЕШЕНО] Проблема HEUR: Trojan.Win64.Miner.gen не исчезает после полной проверки
      Автор Mausidze
      Недавно защитник обнаружил файл, который не может нормально удалить или просканировать, решил скачать Kaspersky Premium.
      Провёл несколько быстрых сканов, перезагрузок и полную проверку, но постоянно выдаёт при запуске, что удалённый HEUR:Trojan.Win64.Miner.gen вернулся
      Распознаёт, если пытаться вылечить без перезагрузки, как криптоджекинг
      Прикрепил отчёт программы
      otchet.txt
×
×
  • Создать...