Перейти к содержанию
Правила раздела

Trojan.Win64.Miner.gen. Антивирус молчит, DNS подменяется

Bruntem

Автор Bruntem,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Bruntem

Bruntem 0

Опубликовано
Опубликовано

Подхватил какую-то заразу, которую никак не могу излечит. Проявляется подменой DNS и тем, что перестают запускаться программы. Логи собрал.

Прошу помощи.

 

 

CollectionLog-2022.05.14-18.18.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission');
 DeleteFileMask('C:\ProgramData\RobotDemo', '*', true);
 DeleteDirectory('C:\ProgramData\RobotDemo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
Bruntem

Bruntem 0

Опубликовано
  • Автор
Опубликовано

CollectionLog-2022.05.26-12.59.zip

 

Сделал все по инструкции. Новые логи прилагаю. Не могу понять как прислать карантин. Ссылки "Прислать запрошенный карантин" не нахожу.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Не исправил шаблон ответа.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

NextDNS сами устанавливали? Если нет, удалите через Установку программ.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3715706903-1595938272-3327926379-1001\...\Run: [MS Image Processing] => "C:\Users\Артём\AppData\Roaming\ImageShaderProcessing\ImageShaderProcessor.exe" -a (Нет файла)
HKU\S-1-5-21-3715706903-1595938272-3327926379-1001\...\Run: [Services.exe] => C:\Users\12C2~1\AppData\Local\Temp\Services.exe (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {01056975-6582-450D-8800-A5EDBC68039F} - System32\Tasks\MDnxCEZPMtiOeh => rundll32 "C:\Program Files (x86)\bENWNmwFnWdU2\UratkQFDUXpqE.dll",#1
Task: {0489DD9C-38C2-40E6-9D57-7B46F1BEA059} - System32\Tasks\7856757 => C:\ProgramData\dir\V-K_D-J.exe /H (Нет файла)
Task: {067F164D-9C04-4012-BCA8-53EA9C6A5AF4} - System32\Tasks\LxeSkakALxEknyhebqt2 => rundll32 "C:\Program Files (x86)\cBRXZPPQmHftC\ICgnliI.dll",#1
Task: {21CD1041-BAF2-489A-BDF9-ACBB11CDD91F} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask => C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Disable (Нет файла)
Task: {2D2C6481-718E-44B0-9DBD-97C11DE04AF9} - System32\Tasks\TotalAdblockLogonUpdate => C:\Users\Артём\AppData\Local\Programs\TotalAdblock\Updater.exe /SP- /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /NOICONS /NOCANCEL /CHROME=1 (Нет файла)
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\WINDOWS\System32\AutoWorkplace.exe join (Нет файла)
Task: {3C547E2A-D99F-417A-A9AE-A8AE6F77EBCF} - System32\Tasks\xEKwJloQTfgnoiYoK2 => rundll32 "C:\Program Files (x86)\usOulTiLyaDrBMKHgvR\RpMQshD.dll",#1
Task: {47DA352A-335D-4FAE-956E-C8352EC87ABF} - System32\Tasks\ZJxSiKbDUOBoWjBWd2 => rundll32 "C:\Program Files (x86)\rDnJkcuWfSumvnFWdFR\BEcFlYC.dll",#1
Task: {5E7926B8-5779-42F2-8761-6C58BBF50E54} - System32\Tasks\uhpzNVwtILKDJ2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\zDTzrpKaqWrlSUVB\rJRHegk.wsf"
Task: {603DC043-F33C-4C35-BFFB-EF12495C59B4} - System32\Tasks\sNrPHOQwNlnwi2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\DoBKggEwrzSbWlVB\aFbJnIK.wsf"
Task: {720592A8-FE80-4801-B731-A897F403898F} - System32\Tasks\sVGwazUnyVZIUOj2 => rundll32 "C:\Program Files (x86)\lqErRLRHU\iKWzJo.dll",#1
Task: {89A3660D-3355-4C7E-9FD9-027AD85CA8A5} - System32\Tasks\ProactiveScan => C:\Users\Артём\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe /defrag (Нет файла)
Task: {96A10E22-C417-4A0E-B900-F6394AC16103} - System32\Tasks\jWefkAVtchZRPOn2 => rundll32 "C:\Program Files (x86)\pKXEtUIUU\rtQDXq.dll",#1
Task: {b6c2ee84-1488-4def-afac-9b8ec87c6e3e} - отсутствует путь к файлу
Task: {CFD35F73-4063-4D74-AB7C-8350837E9824} - System32\Tasks\ctJGZPMJaVjHsd => rundll32 "C:\Program Files (x86)\hhzIhXxBKgmU2\oinKfWnzZJMoh.dll",#1
Task: {E2D79813-E272-4668-B137-BCA6AC2C8500} - System32\Tasks\KCqfaCnLWxKJsrARfzs2 => rundll32 "C:\Program Files (x86)\kqwFrOsXeejBC\jDOaZlh.dll",#1
Task: {E4685041-3766-4547-B9AB-F03556009DA2} - System32\Tasks\bQuEdkcXZNBrYPHfp => C:\WINDOWS\Temp\bAYKuVscJgFZuWLK\qVvKMITbFYrbUOC\WmGZJEq.exe 4z /site_id 690689 /S (Нет файла) <==== ВНИМАНИЕ
Task: {E58E11EF-6ED8-4313-942C-BE1136225CCA} - System32\Tasks\ogdRYFQ => C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\ogdRYFQ\ogdRYFQ.dll",ogdRYFQ <==== ВНИМАНИЕ
Task: {E59D1ACB-3515-4BA1-B013-D3C7FE39056D} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask => C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Warning (Нет файла)
Task: {FC7A292C-F913-47F3-9756-2D241190E14D} - System32\Tasks\Opera scheduled Autoupdate 1638708148 => C:\Users\Артём\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: C:\WINDOWS\Tasks\bQuEdkcXZNBrYPHfp.job => C:\WINDOWS\Temp\bAYKuVscJgFZuWLK\qVvKMITbFYrbUOC\WmGZJEq.exe
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
C:\Users\Артём\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\gekdekpbfehejjiecgonmgmepbdnaggp
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\Артём\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
S2 AppServicea; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicea; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceb; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceb; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicec; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicec; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiced; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiced; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicee; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicee; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicef; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicef; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceg; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceg; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceh; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceh; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicei; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicei; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicej; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicej; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicek; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicek; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicel; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicel; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicem; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicem; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicen; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicen; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceo; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceo; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicep; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicep; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceq; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceq; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicer; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicer; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServices; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServices; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicet; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicet; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceu; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceu; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicev; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicev; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicew; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicew; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicex; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicex; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicey; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicey; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 rsClientSvc; C:\Program Files\RAVAntivirus\rsClientSvc.exe [X]
S2 rsEngineSvc; "C:\Program Files\RAVAntivirus\rsEngineSvc.exe" [X]
2022-05-25 10:51 - 2022-05-25 10:51 - 000000000 ____D C:\Program Files\Transmission
FCheck: C:\WINDOWS\SysWOW64\lastpass_1337.exe [2021-01-05] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
HD Compressor 1.4.1.39 (HKLM-x32\...\{a4c6c9cf-1040-4a2e-84f7-10cd533b8314}) (Version: 1.4.1.39 - Orlando e figli SPA) Hidden
snake raise 2.5.1.17 (HKLM-x32\...\{8d2c3090-f76a-4f7b-ada6-77ce072dd4fc}) (Version: 2.5.1.17 - Guerra-Negri Group e figli) Hidden
Total Adblock - Free AdBlocker 1.0.0.0 (HKLM-x32\...\{9dd93ff4-9d73-45a4-9bc4-fe5bfc60b507}) (Version: 1.0.0.0 - TotalAdblock) Hidden
Transmission 3.00 (bb6b5a062e) (x64) (HKLM-x32\...\{B206C51C-27D2-4251-95E2-B4B28DE80633}) (Version: 3.00.0 - Transmission Project)
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [838]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [838]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [838]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [838]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [838]
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat{38a830be-72e5-11ec-8503-a85e45b9e3c8}.TM.blf:43A466F9B0 [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat{38a830be-72e5-11ec-8503-a85e45b9e3c8}.TMContainer00000000000000000001.regtrans-ms:416ED0AFFA [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat{38a830be-72e5-11ec-8503-a85e45b9e3c8}.TMContainer00000000000000000002.regtrans-ms:AB59CD52ED [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks.lnk:6BCDFBBA1F [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security.lnk:4B2FBCE6BB [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NextDNS.lnk:6FC3F924A2 [3314]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
AlternateDataStreams: C:\Users\Артём\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Артём\Application Data:NT [40]
AlternateDataStreams: C:\Users\Артём\Application Data:NT2 [838]
AlternateDataStreams: C:\Users\Артём\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Артём\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Артём\AppData\Roaming:NT2 [838]
BHO-x32: YoutubeDownloader -> {D851840B-2849-4EE4-9160-B793935F916B} -> C:\Program Files (x86)\TEPukYjbwIE\kdGMPp12z.dll => Нет файла
FirewallRules: [TCP Query User{0715D656-52CD-4CF1-AF15-E398DDCC6BDB}C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe] => (Allow) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [UDP Query User{E346C4DC-75F3-4CF2-86E7-F6903A5B39C0}C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe] => (Allow) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [{D476F8A8-B5FB-4592-8F81-778778307074}] => (Block) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [{F68AADC1-4EDB-48B7-B89C-61D3DA00128C}] => (Block) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [TCP Query User{71E7C547-9D67-4E63-9AC6-D3C6A4082B74}D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [UDP Query User{BC2B337F-3141-403E-811D-8A9C07F40E55}D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [TCP Query User{F12D7DA9-E68F-4907-B3F3-DA60C489646F}D:\games\radmir launcher\radmir_launcher.exe] => (Allow) D:\games\radmir launcher\radmir_launcher.exe => Нет файла
FirewallRules: [UDP Query User{48A53251-49FA-43C4-8B24-3827411067F8}D:\games\radmir launcher\radmir_launcher.exe] => (Allow) D:\games\radmir launcher\radmir_launcher.exe => Нет файла
FirewallRules: [{51CEDF0E-C419-4963-BB97-09214176F35A}] => (Block) D:\games\radmir launcher\radmir_launcher.exe => Нет файла
FirewallRules: [{E41AE2C9-C82B-45FC-9675-214AA01E35C5}] => (Block) D:\games\radmir launcher\radmir_launcher.exe => Нет файла
FirewallRules: [TCP Query User{09DFAAD1-AF54-4A82-93FB-3D1EEC553C77}D:\program files\transmission\transmission-qt.exe] => (Allow) D:\program files\transmission\transmission-qt.exe => Нет файла
FirewallRules: [UDP Query User{15591380-12E5-484B-82F3-DDAA2E893C19}D:\program files\transmission\transmission-qt.exe] => (Allow) D:\program files\transmission\transmission-qt.exe => Нет файла
FirewallRules: [TCP Query User{E0FAFE47-E276-4C42-9249-B608FD68B727}D:\steamlibrary\steamapps\common\war thunder\win64\aces.exe] => (Allow) D:\steamlibrary\steamapps\common\war thunder\win64\aces.exe => Нет файла
FirewallRules: [UDP Query User{962E6716-8A69-4B55-B977-E86D5D545EC0}D:\steamlibrary\steamapps\common\war thunder\win64\aces.exe] => (Allow) D:\steamlibrary\steamapps\common\war thunder\win64\aces.exe => Нет файла
FirewallRules: [TCP Query User{ECC7F4C6-633F-4299-A874-8A813C1CAB81}D:\steamlibrary\steamapps\common\world of tanks\ru\win64\worldoftanks.exe] => (Allow) D:\steamlibrary\steamapps\common\world of tanks\ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{D7D33B86-0480-4911-9C34-7A51D8DD89C3}D:\steamlibrary\steamapps\common\world of tanks\ru\win64\worldoftanks.exe] => (Allow) D:\steamlibrary\steamapps\common\world of tanks\ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [{187D077F-5260-462E-9529-8AEE5355E3AF}] => (Allow) D:\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{C98281AA-9E39-47CE-AF3D-EC835A566F94}] => (Allow) D:\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{3E810BAB-4F7C-4307-BA64-CCBFB3F1EB90}] => (Allow) D:\SteamLibrary\steamapps\common\Brick Rigs\BrickRigs.exe => Нет файла
FirewallRules: [{833FAB1D-130B-480E-8CC2-F49B84DA9389}] => (Allow) D:\SteamLibrary\steamapps\common\Brick Rigs\BrickRigs.exe => Нет файла
FirewallRules: [{24D45D7F-757E-4AEC-96E1-808EE6C43879}] => (Allow) D:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{D464B3F3-8F33-4315-8B52-141FB91BD067}] => (Allow) D:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

После скрипта

Цитата

HD Compressor 1.4.1.39
snake raise 2.5.1.17
Total Adblock - Free AdBlocker 1.0.0.0
Transmission 3.00
Word
YoutubeDownloader
Кнопка "Яндекс" на панели задач

удалите через Установку программ или принудительно с помощью Geek Uninstaller

Ссылка на сообщение
Поделиться на другие сайты
Bruntem

Bruntem 0

Опубликовано
  • Автор
Опубликовано

Похоже, что проблема ушла. По крайней мере DNS стоит правильный и не менялся. Все программы запускаются.

 

Большое спасибо за помощь!

Можете подсказать, почему его не ловил антивирус?

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • VASILIY13
      Обнаружен вирус - Trojan.Win64.Miner.gen
      От VASILIY13
      Добрый день, Kaspersky Internet Security обнаружил Trojan.Win64.Miner.gen (SwiftRescue.exe). В автоматическом режиме вирус не лечится. После перезагрузки появляется опять.
      CollectionLog-2023.12.30-10.39.zip
      CollectionLog-2023.12.30-10.39.zip
      новые логи:
      DESKTOP-1E2DRCJ_2023-12-30_14-23-32_v4.14.7z
      FRST.txt
    • Bruntem
      Похоже Trojan.Win64.Miner.gen. Антивирус молчит, DNS подменяется
      От Bruntem
      Подхватил какую-то заразу, которую никак не могу излечит. Проявляется подменой DNS и тем, что перестают запускаться программы. Логи собрал.
      Очень прошу...
       
       logs.zip
    • Avtonomy35
      [РЕШЕНО] Не могу справиться с удалением вируса Trojan.Win64.Miner.gen
      От Avtonomy35
      Отчет
      отчет.zip
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/83005-heurtrojanwin64minergen/  
    • HollowStan
      [РЕШЕНО] Не удаляется Trojan.Win64.Miner.gen
      От HollowStan
      Здравствуйте! Не удаляется вирус Trojan.Win64.Miner.gen. Касперский предлагает лечить с перезагрузкой, я соглашаюсь. После перезагрузки снова появляется сообщение о вирусе и предложение лечить с перезагрузкой.
      CollectionLog-2021.07.05-22.09.zip
    • Chelsky16
      [РЕШЕНО] Trojan.Win64.Miner.gen помогите удалить
      От Chelsky16
      такая же проблема....
      сканирую при помощи Farbar лог прикреплю позже
      12.rar
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/82943-pomogite-udalit-trojanwin64minergen/  
×
×
  • Создать...