[РЕШЕНО] Trojan.Win64.Miner.gen

[kvknat]

Все время высвечиваются разные названия

были и Trojan.Win64.Miner.gen и другие. Каперский вроде лечит, но после перезагрузки вновь. Сейчас после всего того,что знала Касперский пишет,что ничего нет,но на сайт доктор Веба,например зайти невозможно,уверенна,что троян еще сидит. В этом совсем не разбираюсь,девочка-девочка, заранее прошу прощения за описание. Постаралась создать лог

CollectionLog-2021.07.08-21.57.zip

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - HKCU\..\Run: [MediaGet2] = C:\Users\Константин\MediaGet2\mediaget.exe --minimized (file missing)
O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{5cf22ad5-2276-4b58-8e43-e7f39a395e92}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{5cf22ad5-2276-4b58-8e43-e7f39a395e92}: [NameServer] = 37.1.207.126
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[kvknat]

Готово

CollectionLog-2021.07.08-22.42.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[kvknat]

Готово

Desktop.rar

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
2021-06-18 22:17 - 2021-07-02 09:54 - 000000000 ____D C:\ProgramData\CSGOCalc
2021-07-02 22:06 - 2021-07-07 09:36 - 000000000 ____D C:\ProgramData\FingerPrint
2021-07-08 18:38 - 2021-07-08 18:39 - 000000000 ____D C:\ProgramData\PuzzleMedia
U3 aswbdisk; отсутствует ImagePath
U3 avgbdisk; отсутствует ImagePath
S0 FACEIT; \SystemRoot\System32\Drivers\FACEIT.sys [X]
S3 FACEITService; "C:\Program Files\FACEIT AC\faceitservice.exe" [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
FF Homepage: Mozilla\Firefox\Profiles\w4clwv9x.default-release -> hxxps://find-it.pro/?utm_source=distr_m
FF Notifications: Mozilla\Firefox\Profiles\w4clwv9x.default-release -> hxxps://mail-notification.info; hxxps://6j76c.webout.life; hxxps://48ete.webouttwo.life; hxxps://eu.toparticlesfree.xyz; hxxps://www.faceit.com; hxxps://web-telegram.ru
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
C:\Users\Константин\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnpcccdfbmbpdhheipohfipmmkpfclek
C:\Users\Константин\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkocadmokmpjeeaimigjpmfpdaighkga
The1Adblocker 1.0.0.0 (HKLM-x32\...\{09483bfb-e2a3-4693-8b0d-39b7bcc8c73b}) (Version: 1.0.0.0 - The1Adblocker) Hidden
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
C:\Users\Константин\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\gnpcccdfbmbpdhheipohfipmmkpfclek
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2966]
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
HKU\S-1-5-21-986341835-59422509-4030517425-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
SearchScopes: HKU\S-1-5-21-986341835-59422509-4030517425-1001 -> DefaultScope 104d0076-2dad-11eb-8ccf-18c04d30a266 URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-986341835-59422509-4030517425-1001 -> 104d0076-2dad-11eb-8ccf-18c04d30a266 URL = hxxp://search-cdn.net/fip/?q={searchTerms}
FirewallRules: [{6C046AC5-B0A7-4170-8969-2636F4ECC704}] => (Allow) C:\Users\Константин\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{48367CE0-32D1-4417-91D3-49C31A606540}] => (Allow) C:\Users\Константин\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{779C92FA-CF72-49D6-8032-B69C48CDE434}] => (Allow) C:\Users\Константин\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{86D56FA6-BAFB-403C-8DAF-85135A02D1BA}] => (Allow) C:\Users\Константин\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{CB4763B6-BCBA-48AF-85C5-C15CD6EE2696}] => (Allow) C:\Users\Константин\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{CF25AE94-CA18-4CA8-9E98-2663DFE94F0F}] => (Allow) C:\Users\Константин\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [TCP Query User{DC830E10-2446-4F16-867B-4183E71D0A2E}D:\good doctor\mortal kombat 11\binaries\retail\mk11.exe] => (Allow) D:\good doctor\mortal kombat 11\binaries\retail\mk11.exe => Нет файла
FirewallRules: [UDP Query User{2F82315F-9689-4E9D-8FCF-29D471841F2E}D:\good doctor\mortal kombat 11\binaries\retail\mk11.exe] => (Allow) D:\good doctor\mortal kombat 11\binaries\retail\mk11.exe => Нет файла
FirewallRules: [TCP Query User{26B868CB-F680-4CF9-8DD3-FF2754E14E52}C:\users\константин\appdata\local\direct-commander\app-3.56.1\direct commander.exe] => (Allow) C:\users\константин\appdata\local\direct-commander\app-3.56.1\direct commander.exe => Нет файла
FirewallRules: [UDP Query User{0FE4A080-D207-4664-B514-9DA736ED2032}C:\users\константин\appdata\local\direct-commander\app-3.56.1\direct commander.exe] => (Allow) C:\users\константин\appdata\local\direct-commander\app-3.56.1\direct commander.exe => Нет файла
FirewallRules: [{ECD449AD-F018-4E55-8C09-33A65660B7C8}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣䭂桏⹸硥e => Нет файла
FirewallRules: [{1C92D291-12C3-431F-8C69-574B222F966D}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{EC61DB67-D2AA-44C5-854A-ABDEF47E28D5}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{A7284E94-3800-4E03-BD00-E2D9FD1267A6}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣䍇㥆攮數 => Нет файла
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Цитата

The1Adblocker 1.0.0.0 (HKLM-x32\...\{09483bfb-e2a3-4693-8b0d-39b7bcc8c73b}) (Version: 1.0.0.0 - The1Adblocker)
YoutubeDownloader (HKLM-x32\...\51A248DD-FEFF-4396-BBDE-F22ADF36EACC) (Version: 2.0.0.1341 - )

ужалите через Установку программ
 

[kvknat]

первый пункт сделала, со вторым проблема

[thyrex]

Для удаления указанных приложений воспользуйтесь Geek Uninstaller

 

Папку C:\Program Files (x86)\Transmission удалите вручную.

[kvknat]

 

Все удалила! ура

на сайт доктора веба заходит теперь. Значит все нормально? Спасибо!!!

Изменено 10 июля, 2021 пользователем kvknat

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[kvknat]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 10.07.2021 13:23:47
Path starting: C:\Users\Константин\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Константин
VersionXML: 8.90is-03.07.2021
___________________________________________________________________________

Windows 10(6.3.19041) (x64) Professional Версия: 2004 Lang: Russian(0419)
Дата установки ОС: 22.10.2020 21:23:56
Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 151784 мин.
Статус лицензии: Office 19, Office19ProPlus2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 151785 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe
Системный диск: ? ФС: [NTFS] Емкость: [223 Гб] Занято: [215.1 Гб] Свободно: [7.9 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.789.19041.0
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
Kaspersky Internet Security (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security (включен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.21.3.10.391
Kaspersky Password Manager v.9.0.2.767
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - en-us v.16.0.13127.20296 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.13127.20296 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74
Microsoft OneDrive v.21.119.0613.0001 [+]
Steam v.2.10.91.91
Epic Games Launcher v.1.1.298.0
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.00 alpha (x64) v.21.00 alpha [+]
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2121.7 Внимание! Скачать обновления
Zoom v.5.4.3 (58891.1115) Внимание! Скачать обновления
Telegram Desktop, версия 2.8.4 v.2.8.4
Skype, версия 8.73 v.8.73
---------------------------- [ ProxyAndVPNs ] -----------------------------
Kaspersky Secure Connection v.21.3.10.391
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45966 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 291 (64-bit) v.8.0.2910.10
Java 8 Update 291 v.8.0.2910.10
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC MUI v.20.013.20066 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 89.0.2 (x64 ru) v.89.0.2
Yandex v.21.5.4.607 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.91.0.4472.124
Microsoft Edge v.91.0.864.64
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 21.3 (AVP21.3) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\avp.exe v.21.3.0.1
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\avpui.exe v.21.3.12.434
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.3\ksde.exe v.21.3.0.1
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.3\ksdeui.exe v.21.3.12.434
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба остановлена
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

[thyrex]

Установите обновления указанных программ, и на этом закончим.

[kvknat]

Спасибо огромное!

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".