HEUR:Trojan.Win64.Miner.gen. Как избавиться от этого вируса?

[GARLEMFAKE]

Не могу удалить с помощью касперского вирус. Воскресает после каждого перезапуска.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[thyrex]

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

[GARLEMFAKE]

Здравствуйте! Не удаляется вирус Trojan.Win64.Miner.gen. Касперский предлагает лечить с перезагрузкой, я соглашаюсь. После перезагрузки снова появляется сообщение о вирусе и предложение лечить с перезагрузкой.CollectionLog-2021.07.05-19.47.zip

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('Transmission', 4);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcrypto-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\libssl-1_1.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\platforms\qwindows.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5DBus.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Gui.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Network.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Widgets.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5WinExtras.dll','32');
 DeleteFile('C:\Program Files (x86)\Transmission\zlib.dll','32');
 DeleteService('Transmission');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пофиксите в HiJackThis из папки Autologger

O17 - HKLM\System\CCS\Services\Tcpip\..\{ca046f0f-7f48-44fb-8689-43727d19cd64}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{ca046f0f-7f48-44fb-8689-43727d19cd64}: [NameServer] = 37.1.207.126
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[GARLEMFAKE]

не могу разобраться где что изменить, объясните обычному смертному человеку подробнее пожалуйста!!!

[Sandor]

Как выполнить скрипт в AVZ

[GARLEMFAKE]

отправил!

CollectionLog-2021.07.06-10.22.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[GARLEMFAKE]

1.rar

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-07-05 21:10 - 2021-07-06 09:12 - 000000000 ____D C:\ProgramData\FingerPrint
2021-07-03 18:04 - 2021-07-03 20:18 - 000000000 ____D C:\ProgramData\CSGOCalc
2021-06-27 07:23 - 2021-07-06 09:09 - 000000000 ____D C:\Program Files (x86)\Transmission
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-959161372-2168236279-2063342856-1002\...\webcompanion.com -> hxxp://webcompanion.com
Toolbar: HKU\S-1-5-21-959161372-2168236279-2063342856-1002 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [468]
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[GARLEMFAKE]

Fixlog.txt

[thyrex]

Проблема решена?

[GARLEMFAKE]

не знаю, сейчас перезагружу компьютер проверю антивирусник что там покажет

Проблема решена! Уведомлений нет! Файл исчез. Спасибо огромное за терпение и помощь!!!!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.