HEUR:Trojan.Win64.Miner.gen

[denis146888]

Недавно на ноутбуке обнаружил Майнер, через Касперский удалить не получается, вылезает после каждой перезагрузки. Логи прикрепил.

CollectionLog-2021.09.10-00.32.zip

[thyrex]

Цитата

 

MediaGet

toc

Кнопка "Яндекс" на панели задач

 

удалите через Установку программ

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission');
 DeleteFileMask('C:\ProgramData\CSGOCalc', '*', true);
 DeleteDirectory('C:\ProgramData\CSGOCalc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{19daf39f-74f7-4d8c-b7d8-7244c1b1aff7}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{19daf39f-74f7-4d8c-b7d8-7244c1b1aff7}: [NameServer] = 37.1.207.126

O22 - Task (.job): (disabled) (Not scheduled) cs_go9n.job - C:\ProgramData\CSGOCalc\CSGOCalc.exe (file missing) --main show

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[denis146888]

CollectionLog-2021.09.10-14.51.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[denis146888]

11 часов назад, thyrex сказал:

 

 

Addition.txt FRST.txt

[thyrex]

10.09.2021 в 06:33, thyrex сказал:

Цитата

MediaGet

toc

Кнопка "Яндекс" на панели задач

удалите через Установку программ

это я для кого написал?

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Folder: C:\ProgramData\FingerPrint
HKU\S-1-5-21-4018153185-1518525388-3067504673-1001\...\Run: [MediaGet2] => C:\Users\User\MediaGet2\mediaget.exe [10449104 2021-07-06] (Global Microtrading PTE. LTD -> MediaGet)
HKU\S-1-5-21-4018153185-1518525388-3067504673-1001\...\MountPoints2: {727f3fb4-a123-11eb-9795-2cf05db77693} - "D:\Yota.exe" 
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{B12B2C4C-A53F-4A55-B3A3-0246DB090581}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
FirewallRules: [{643FDB13-6C33-4341-BC82-EB8D29894CA6}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
FirewallRules: [{B4CFBEBD-30A7-409E-999A-9D76C6345488}] => (Allow) C:\Users\User\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
FirewallRules: [{EE2BE870-8913-4650-99DE-B68ACEBC197B}] => (Allow) C:\Users\User\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
FirewallRules: [{EF248A2A-2376-465B-AE51-B9E82EFE8691}] => (Allow) C:\Program Files\Cyberpunk 2077\cyberpunk2077.exe => Нет файла
FirewallRules: [{E76C2CD1-E1B3-43E0-9AFF-E2EFEC28BB57}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣䴴䤷⹆硥e => Нет файла
FirewallRules: [{05C4231F-C077-4CC1-9EF2-553AB64EC9F0}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{795FD5C5-BEB4-405E-9CDD-578CFBBC58A4}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{C6098F56-DC6D-4A61-8D3C-00027E6BFE61}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣南䱈攮數 => Нет файла
C:\Users\User\MediaGet2
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[denis146888]

 Теперь, сделал все, что просили

Fixlog.txt

[thyrex]

Папку C:\ProgramData\FingerPrint удалите вручную.

 

Проблема решена?

[denis146888]

Да, спасибо большое.

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.