HEUR:Trojan.Win64.Miner.gen

**Денисапxbr** · 06.01.2024, 19:39

Доброго времени суток, постоянно высокая нагрузка на CP, падает при открытом диспетчере задачи.
Касперский находит HEUR:Trojan.Win64.Miner.gen в файлах C:\ProgramData\CodeMaestro-83dcc4f6-69fa-4e43-81a1-d30c5560e17e и предлагает лечить с перезагрузкой, после чего история повторяется.

Прошу вашего совета.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.01.2024, 19:40

Уважаемый(ая) Денисапxbr, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 07.01.2024, 14:03

Логи по правилам жду.

**Денисапxbr** · 07.01.2024, 15:48

Вроде всё по инструкции.

**Vvvyg** · 07.01.2024, 21:23

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 TerminateProcessByName('c:\program files\wproxy\winproxy\winproxy.exe');
 DeleteService('WinSetupMon');
 DeleteFile('C:\WINDOWS\SysWOW64\evntagnt.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\EvntAgntSvc_536812\Parameters','ServiceDll','x64');
 DeleteFile('c:\program files\wproxy\winproxy\winproxy.exe','32');
 DeleteSchedulerTask('Eventer utilityS-1-5-21-1400639474-4013593657-2606653379-1001');
 DeleteSchedulerTask('gGSwOqVmS');
 DeleteSchedulerTask('gufsHeDGZ');
 DeleteSchedulerTask('pockettube-youtube-S-1-5-21-1400639474-4013593657-2606653379-1001');
 DeleteFile('C:\Users\den-l\AppData\Local\Programs\cad4cd7242e3\d9c24a2294.msi','64');
 DeleteSchedulerTask('WProxy\WinProxy');
 DeleteFileMask('c:\program files\wproxy','*',true);
 DeleteDirectory('c:\program files\wproxy');
 DeleteFileMask('C:\Users\den-l\AppData\Local\Programs\cad4cd7242e3','*',true);
 DeleteDirectory('C:\Users\den-l\AppData\Local\Programs\cad4cd7242e3');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Денисапxbr** · 08.01.2024, 19:34

Вроде они. Прошу прощения за задержку.

**Vvvyg** · 09.01.2024, 13:11

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
(services.exe ->) (Lavasoft Software Canada Inc. -> ) C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe
CHR HKU\S-1-5-21-1400639474-4013593657-2606653379-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [makncglipcpahhdkncedphglhmiabdac]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-1400639474-4013593657-2606653379-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-1400639474-4013593657-2606653379-1001\...\webcompanion.com -> hxxp://webcompanion.com
S2 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [3413424 2022-03-14] (Lavasoft Software Canada Inc. -> ) <==== ВНИМАНИЕ
R2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [22960 2022-03-14] (Lavasoft Software Canada Inc. -> ) <==== ВНИМАНИЕ
C:\Program Files (x86)\Lavasoft
S1 vdy2mju3; \??\C:\WINDOWS\system32\Drivers\vdy2mju3.sys [X]
2024-01-06 20:35 - 2024-01-08 19:21 - 000000000 __SHD C:\ProgramData\CodeMaestro-83dcc4f6-69fa-4e43-81a1-d30c5560e17e
2023-12-02 16:54 C:\Program Files\RDP Wrapper
2023-12-02 16:54 C:\Program Files (x86)\360
2023-12-02 16:54 C:\ProgramData\RDP Wrapper
2023-12-02 16:54 C:\ProgramData\ReaItekHD
2022-06-19 22:32 C:\ProgramData\Setup
2023-12-02 16:54 C:\ProgramData\Windows Tasks Service
2023-12-02 16:54 C:\ProgramData\WindowsTask
CustomCLSID: HKU\S-1-5-21-1400639474-4013593657-2606653379-1001_Classes\CLSID\{3ECB19CC-382A-4385-8555-FB8DDFE89A2A}\InprocServer32 -> C:\Program Files (x86)\PhotoMaster\ShellMenu64.dll => Нет файла
ContextMenuHandlers1_S-1-5-21-1400639474-4013593657-2606653379-1001: [!PhotoMASTER] -> {3ECB19CC-382A-4385-8555-FB8DDFE89A2A} => C:\Program Files (x86)\PhotoMaster\ShellMenu64.dll -> Нет файла
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhjhhqkh [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`vovtfe.qpsu.obnfjhjkhkjq [0]
HKU\S-1-5-21-1400639474-4013593657-2606653379-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{98134A61-9CFE-4C0E-98FA-D11BB45B3E86}] => (Allow) C:\Steam\steamapps\common\Metro Last Light\MetroLL.exe => Нет файла
FirewallRules: [{753E951D-A205-48E4-A61E-D427B5A7E6BD}] => (Allow) C:\Steam\steamapps\common\Metro Last Light\MetroLL.exe => Нет файла
FirewallRules: [{3E4E5C7D-22CE-4815-ABC5-F8746F2DFF97}] => (Allow) C:\Steam\steamapps\common\DmC Devil May Cry\Binaries\Win32\DMC-DevilMayCry.exe => Нет файла
FirewallRules: [{AD8049C4-1E3A-48DB-BDEE-1A59E337C04B}] => (Allow) C:\Steam\steamapps\common\DmC Devil May Cry\Binaries\Win32\DMC-DevilMayCry.exe => Нет файла
FirewallRules: [{D576E435-D699-4716-B54F-4171750DABB1}] => (Allow) C:\Steam\steamapps\common\Deadlight Director’s Cut\Binaries\Win64\LOTDGame.exe => Нет файла
FirewallRules: [{417248B4-D898-4F84-AC49-3156B81D7456}] => (Allow) C:\Steam\steamapps\common\Deadlight Director’s Cut\Binaries\Win64\LOTDGame.exe => Нет файла
FirewallRules: [TCP Query User{2FD68103-237E-442C-B22F-BC00A7086C9F}C:\users\den-l\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\den-l\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [UDP Query User{4B745192-3D27-409F-9F64-A1952159E23C}C:\users\den-l\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\den-l\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [{08FCB06A-0B3D-4FEE-B014-8F71541F7D5D}] => (Allow) C:\Steam\steamapps\common\Mark of the Ninja Remastered\bin\Ninja.exe => Нет файла
FirewallRules: [{2D3BBC89-0467-4897-A965-3AE4CE3CC8A7}] => (Allow) C:\Steam\steamapps\common\Mark of the Ninja Remastered\bin\Ninja.exe => Нет файла
FirewallRules: [{558BE06B-2F92-4FBC-A951-12192A764709}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{FCDEF827-1F86-4403-90E4-60F546293E4B}] => (Allow) C:\Steam\steamapps\common\A Story About My Uncle\Binaries\Win32\ASAMU-Win32-Shipping.exe => Нет файла
FirewallRules: [{3DFCB641-9005-40AD-99CC-ACDCEA494F25}] => (Allow) C:\Steam\steamapps\common\A Story About My Uncle\Binaries\Win32\ASAMU-Win32-Shipping.exe => Нет файла
FirewallRules: [{DED020CC-9593-4F6C-BAD2-1D1A8ECA132A}] => (Allow) C:\Steam\steamapps\common\Slender - The Arrival\Slender - The Arrival.exe => Нет файла
FirewallRules: [{3E084AAC-4C48-4667-B0F0-7D821E50C97A}] => (Allow) C:\Steam\steamapps\common\Slender - The Arrival\Slender - The Arrival.exe => Нет файла
FirewallRules: [TCP Query User{9E642321-3DDE-47CC-92B5-2AAA387A7F0D}C:\steam\steamapps\common\move or die\love\win\love.exe] => (Allow) C:\steam\steamapps\common\move or die\love\win\love.exe => Нет файла
FirewallRules: [UDP Query User{05ED8A68-E415-4343-8832-49621D87825A}C:\steam\steamapps\common\move or die\love\win\love.exe] => (Allow) C:\steam\steamapps\common\move or die\love\win\love.exe => Нет файла
FirewallRules: [TCP Query User{89335A68-DB1D-4997-BD87-88899EEFB711}C:\steam\steamapps\common\7 days to die\7daystodie.exe] => (Allow) C:\steam\steamapps\common\7 days to die\7daystodie.exe => Нет файла
FirewallRules: [UDP Query User{65DB5658-D07B-4770-9CBB-BEDB2C2C1A99}C:\steam\steamapps\common\7 days to die\7daystodie.exe] => (Allow) C:\steam\steamapps\common\7 days to die\7daystodie.exe => Нет файла
FirewallRules: [TCP Query User{CDF14CED-3564-4863-BE75-482A162F3D9B}C:\steam\steamapps\common\terraria\terrariaserver.exe] => (Allow) C:\steam\steamapps\common\terraria\terrariaserver.exe => Нет файла
FirewallRules: [UDP Query User{C7861387-12F9-482A-9B20-6010FB54A1CD}C:\steam\steamapps\common\terraria\terrariaserver.exe] => (Allow) C:\steam\steamapps\common\terraria\terrariaserver.exe => Нет файла
FirewallRules: [{E0F08977-6869-4443-AE0F-C805F7D0E32D}] => (Allow) C:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{232F4111-E85C-45A3-B6EE-AD2351367A60}] => (Allow) C:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{C09993FB-7ABE-4CFC-962E-DA5CC0522BEA}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{C3F12EC6-657E-43A4-B0CF-E225B360F482}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{559E4AAC-7979-4910-9BD2-B56DD619350E}] => (Allow) C:\Steam\steamapps\common\Summer~Life in the Countryside~\Summer~Life in the Countryside~\Summer.exe => Нет файла
FirewallRules: [{5A5779C4-6F15-4967-9DB9-81C113A79565}] => (Allow) C:\Steam\steamapps\common\Summer~Life in the Countryside~\Summer~Life in the Countryside~\Summer.exe => Нет файла
FirewallRules: [{17D09BC3-D20E-4B19-AE37-0B9985DD9D2B}] => (Allow) C:\Users\den-l\AppData\Local\Temp\AweZip\Temp2\AweZip7\hitpaw-voice-changer.exe => Нет файла
FirewallRules: [{03EE1D7E-3E1E-4937-B690-995C0677EE11}] => (Allow) C:\Users\den-l\AppData\Local\Temp\AweZip\Temp2\AweZip7\hitpaw-voice-changer.exe => Нет файла
FirewallRules: [{9BC9964A-C7CE-42FF-B2F3-FF34D73703D5}] => (Allow) C:\Steam\steamapps\common\Days Gone\BendGame\Binaries\Win64\DaysGone.exe => Нет файла
FirewallRules: [{60A28235-C590-4B6A-ADF3-A712CE488C9A}] => (Allow) C:\Steam\steamapps\common\Days Gone\BendGame\Binaries\Win64\DaysGone.exe => Нет файла
FirewallRules: [{FC88E796-9140-4394-B210-D55D1908E249}] => (Allow) C:\Program Files\Fortect\MainService.exe => Нет файла
FirewallRules: [{5F729705-1921-4124-9A39-724932DAD50C}] => (Allow) C:\Program Files\Fortect\MainService.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CreateRestorePoint:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Сообщите, что с проблемой.

**Денисапxbr** · 09.01.2024, 23:12

Вроде помогло, Касперский больше угрозу или связанные с ней файлы не находит, плюс видео карта больше не плавится.

Спасибо за помощь!

**Vvvyg** · 10.01.2024, 12:09

Я просил именно файл Fixlog.txt.

HEUR:Trojan.Win64.Miner.gen (заявка № 228435)

Опции темы