Решена Не могу удалить троян coinminer

Илья Гутовский

Новый пользователь
Сообщения
6
Реакции
0
Здравствуйте
Прошерстил все возможные форумы, не могу до конца удалить троян.

Что было проделано:
1) Был замечен процесс "Microsofthost", почитал, понял что вирус. Попытался решить с помощью DR web livedisck, кажется получилось удалить exe файл.
2) Проводил все возможные проверки и сканы, в конечном итоге пришел к встроенному в винду антивирусу. Был замечен вредоносный файл "Coinminer! MTS", вроде как показывает что его удалил. С тех пор никаких скачков мощностей, процессор перестал нагреваться до 90 и держится на 45.
3) Тем не менее вирус все еще запрещает заходить на страницы антивирусов, открывать скрытые системные файлы.
4) Ни один из возможных путей удаления не помог. Хотел сразу отправить логи из AV block remover, но не могу его запустить. Из безопасного режима также не могу, пишет что нужно запросить права у "Администраторы". В обычном режиме также не дает, пишет что "операция отменена из-за ограничений...".
 
1685287567794.png

Через безопасный режим удалось разблокировать скрытые системные файлы и на рабочем столе пустые папки, которые были созданы еще до того как я начал заниматься скачиванием AV_B. Я так понимаю что это дело рук вируса, но не понимаю каким образом удалить их. При попытке удалить unlocker,ом он их не видит, через безопасный режим unlocker не запускается
 
Переместите AVBR в любую другую папку и запустите переименованный файл
 
Последнее редактирование:
Да, так удалось запустить из безопасного режима и проблема решилась. В любом случае, присылаю логи после чистки AVRB
 

Вложения

  • CollectionLog-2023.05.28-18.54.zip
    80.3 KB · Просмотры: 6
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
  • Like
Реакции: akok
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код:
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-736481872-1341592262-724706585-1001\...\MountPoints2: {f42b5106-3913-11ec-b8c7-5c3a4556ac42} - "E:\Autorun.exe" 
Task: {27699C50-CBAB-454B-9763-CF926C02097E} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.7.5.940\service_update.exe  --repair (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
S2 Chistilka; "C:\ProgramData\Чистилка\Чистилка.exe" /service [X]
2023-05-26 22:24 - 2023-05-26 22:24 - 000000000 __SHD C:\Users\iigut\Downloads\AV_block_remover
2023-05-26 22:24 - 2023-05-26 22:24 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-05-26 22:24 - 2023-05-26 22:24 - 000000000 __SHD C:\Program Files\RogueKiller
CustomCLSID: HKU\S-1-5-21-736481872-1341592262-724706585-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\iigut\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20130.1\x64\Microsoft.Teams.AddinLoader.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-736481872-1341592262-724706585-1001_Classes\CLSID\{d1b22d3d-8585-53a6-acb3-0e803c7e8d2a}\localserver32 -> "C:\Users\iigut\AppData\Local\Microsoft\Teams\current\Teams.exe" --toast => Нет файла
FirewallRules: [UDP Query User{C930B38C-31CC-41C1-9483-D9629B4D3CFF}C:\users\iigut\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\iigut\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [TCP Query User{D41FB3C9-DBE4-4214-81E1-80885F4D0A8E}C:\users\iigut\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\iigut\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [UDP Query User{5BCEBB64-434C-4D09-9310-026897EB5911}D:\games\minecraft_win\tl\jre\win64\bin\javaw.exe] => (Allow) D:\games\minecraft_win\tl\jre\win64\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{B042BF38-36D5-4F0B-9F6C-6BD5B2DF42B4}D:\games\minecraft_win\tl\jre\win64\bin\javaw.exe] => (Allow) D:\games\minecraft_win\tl\jre\win64\bin\javaw.exe => Нет файла
FirewallRules: [{6D974AFE-C055-4DBF-90DE-CEB24C7F1460}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => Нет файла
FirewallRules: [{3D61CDBF-C124-4669-8964-42119D054DBE}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => Нет файла
FirewallRules: [{E465E0C1-ECDC-4111-B0FE-A6A9B9890EF1}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => Нет файла
FirewallRules: [{C4C6B635-EFED-4274-8E16-9F078B8A4C3D}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{A45DC41D-17EA-44FA-B19C-30DB2E2FC257}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => Нет файла
FirewallRules: [{BB65A588-ACBF-4D8B-8F1C-DCC32ACE738C}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => Нет файла
FirewallRules: [UDP Query User{12B8A35B-DA24-4893-972B-DBF7533CFE2B}D:\games\no man's sky\binaries\nms.exe] => (Allow) D:\games\no man's sky\binaries\nms.exe => Нет файла
FirewallRules: [TCP Query User{5BE4ABD1-F0E7-4D65-9853-D242E335B8C1}D:\games\no man's sky\binaries\nms.exe] => (Allow) D:\games\no man's sky\binaries\nms.exe => Нет файла
FirewallRules: [UDP Query User{F13FBC6F-F35C-4A75-AA1F-8CF09345B12E}C:\program files (x86)\minecraft code connection\code connection for minecraft.exe] => (Allow) C:\program files (x86)\minecraft code connection\code connection for minecraft.exe => Нет файла
FirewallRules: [TCP Query User{0DBC888A-CE3E-447E-BC95-A05903AD14F7}C:\program files (x86)\minecraft code connection\code connection for minecraft.exe] => (Allow) C:\program files (x86)\minecraft code connection\code connection for minecraft.exe => Нет файла
FirewallRules: [UDP Query User{20078A9A-1FA1-43C7-AEED-D1AFFAD2FDCC}C:\users\iigut\appdata\local\temp\1iaq8q4fbivnrjhhh7kjohtjxed\examus.exe] => (Allow) C:\users\iigut\appdata\local\temp\1iaq8q4fbivnrjhhh7kjohtjxed\examus.exe => Нет файла
FirewallRules: [TCP Query User{0E6D62BC-F2D3-4EA4-BFD4-5915079D867E}C:\users\iigut\appdata\local\temp\1iaq8q4fbivnrjhhh7kjohtjxed\examus.exe] => (Allow) C:\users\iigut\appdata\local\temp\1iaq8q4fbivnrjhhh7kjohtjxed\examus.exe => Нет файла
FirewallRules: [UDP Query User{B9C2C4FE-AEF3-4819-B622-26E02AC3D1EE}C:\program files\java\jre1.8.0_261\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_261\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{C886C9D3-C1E2-4D06-9AD1-6F676BAA304F}C:\program files\java\jre1.8.0_261\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_261\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{50771FC8-37DD-4E93-B7F8-BD90EB8BD0EE}D:\games\star wars jedi - fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Allow) D:\games\star wars jedi - fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Нет файла
FirewallRules: [TCP Query User{CE6217AB-B171-4A0A-87BB-BDA62C8F8FBC}D:\games\star wars jedi - fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Allow) D:\games\star wars jedi - fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Нет файла
FirewallRules: [UDP Query User{83B6423C-0249-4948-8BF7-91BB79C01C12}D:\games\star wars jedi - fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Allow) D:\games\star wars jedi - fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Нет файла
FirewallRules: [TCP Query User{2F65F236-C3D1-4D64-A7F7-5FE93779541C}D:\games\star wars jedi - fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe] => (Allow) D:\games\star wars jedi - fallen order\swgame\binaries\win64\starwarsjedifallenorder.exe => Нет файла
FirewallRules: [{6749C5E5-EA03-42F2-A7E0-47D14F61222B}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{DC2B1513-85B0-41AE-8821-588E5167841B}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [UDP Query User{B301B352-D99C-416E-9925-9F091BE31D91}C:\program files\java\jre1.8.0_51\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_51\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{331BBD03-04CA-4111-B9E5-B9AA30D9B25C}C:\program files\java\jre1.8.0_51\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_51\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{D05CEA4E-15E6-4068-838B-9539672AF7F8}C:\users\iigut\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\iigut\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [UDP Query User{DD9D6FA8-271E-43B6-8560-54A0CC760C2C}C:\users\iigut\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\iigut\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [TCP Query User{8149EB6E-B4B1-4176-8C80-65E7C68FF61A}C:\program files\pylo\mcreator\jdk\bin\java.exe] => (Allow) C:\program files\pylo\mcreator\jdk\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{9C5BE3C3-57DB-488C-8F3D-DD987C07A675}C:\program files\pylo\mcreator\jdk\bin\java.exe] => (Allow) C:\program files\pylo\mcreator\jdk\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{9BAEC056-571C-4D04-91C8-657472D9D8F9}C:\program files\pylo\mcreator\jdk\bin\java.exe] => (Allow) C:\program files\pylo\mcreator\jdk\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{EDF00C91-9C16-405B-8820-73829FD7B5C5}C:\program files\pylo\mcreator\jdk\bin\java.exe] => (Allow) C:\program files\pylo\mcreator\jdk\bin\java.exe => Нет файла
FirewallRules: [{00A3B359-57EB-4F27-BDB2-40AA42B36A11}] => (Allow) D:\Паша\Grand Theft Auto IV\LaunchGTAIV.exe => Нет файла
FirewallRules: [{A02E9DCC-C98A-4CDA-B94D-D25A900C9A60}] => (Allow) D:\Паша\Grand Theft Auto IV\LaunchGTAIV.exe => Нет файла
FirewallRules: [{9C39B106-527E-429A-8D43-2940999132C5}] => (Allow) D:\Паша\Grand Theft Auto IV\GTAIV.exe => Нет файла
FirewallRules: [{C3843D96-1439-4DC9-B8EC-E3ABD789ED5D}] => (Allow) D:\Паша\Grand Theft Auto IV\GTAIV.exe => Нет файла
FirewallRules: [TCP Query User{8254CEFE-45C0-40F2-A950-3B6020B968BE}D:\паша\eflc\eflc.exe] => (Allow) D:\паша\eflc\eflc.exe => Нет файла
FirewallRules: [UDP Query User{950CAF7E-2C53-48C7-9A31-0BBEB75023D7}D:\паша\eflc\eflc.exe] => (Allow) D:\паша\eflc\eflc.exe => Нет файла
FirewallRules: [TCP Query User{D271273E-7F36-43E0-A57F-F491427BA4B6}D:\pasha\grand theft auto iv\gtaiv.exe] => (Allow) D:\pasha\grand theft auto iv\gtaiv.exe => Нет файла
FirewallRules: [UDP Query User{C8BABB08-0CA7-47E2-964E-8B12DF451236}D:\pasha\grand theft auto iv\gtaiv.exe] => (Allow) D:\pasha\grand theft auto iv\gtaiv.exe => Нет файла
FirewallRules: [{F7657FE8-9214-4B07-B9DE-266B117513DD}] => (Allow) C:\Users\iigut\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{1160E3ED-B32F-43C7-B69E-F8D16D2FF185}] => (Allow) C:\Users\iigut\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [TCP Query User{A9951B5B-7932-474F-B69E-AC2C9BB21A33}D:\pasha\wasteland 3\wl3.exe] => (Allow) D:\pasha\wasteland 3\wl3.exe => Нет файла
FirewallRules: [UDP Query User{1B366422-02A3-40D6-8F14-BB8254B20760}D:\pasha\wasteland 3\wl3.exe] => (Allow) D:\pasha\wasteland 3\wl3.exe => Нет файла
FirewallRules: [TCP Query User{12BA88B8-09D1-4A46-B769-215923F7F21D}D:\pasha\pathologic 2\pathologic.exe] => (Allow) D:\pasha\pathologic 2\pathologic.exe => Нет файла
FirewallRules: [UDP Query User{03783082-9233-4BD4-9695-0A8184446196}D:\pasha\pathologic 2\pathologic.exe] => (Allow) D:\pasha\pathologic 2\pathologic.exe => Нет файла
FirewallRules: [{432793DF-39B1-438F-9604-3F2AF7CC8C10}] => (Allow) C:\Program Files\Huawei\PCManager\HWVCR.exe => Нет файла
FirewallRules: [TCP Query User{A773F7FF-A1AE-4DBF-94D1-F6C092DA749F}D:\pasha\wasteland 3\wl3.exe] => (Allow) D:\pasha\wasteland 3\wl3.exe => Нет файла
FirewallRules: [UDP Query User{B03F4CBE-B2BF-42D3-8343-02F49570B95A}D:\pasha\wasteland 3\wl3.exe] => (Allow) D:\pasha\wasteland 3\wl3.exe => Нет файла
FirewallRules: [TCP Query User{96956A51-9ED2-4CF7-9F52-5E9EFB7376C0}D:\pasha\grand theft auto iv\gtaiv.exe] => (Allow) D:\pasha\grand theft auto iv\gtaiv.exe => Нет файла
FirewallRules: [UDP Query User{98066E03-65FC-4857-BB82-AB4B901B9290}D:\pasha\grand theft auto iv\gtaiv.exe] => (Allow) D:\pasha\grand theft auto iv\gtaiv.exe => Нет файла
FirewallRules: [TCP Query User{30C5949A-7AD9-429E-93A8-5AEC6598D984}D:\games\no man's sky\binaries\nms.exe] => (Allow) D:\games\no man's sky\binaries\nms.exe => Нет файла
FirewallRules: [UDP Query User{263D195E-CC88-4860-918C-E9582545437C}D:\games\no man's sky\binaries\nms.exe] => (Allow) D:\games\no man's sky\binaries\nms.exe => Нет файла
FirewallRules: [{0C82783F-051D-4EA8-BB2E-056D5BD5CD99}] => (Allow) C:\Users\iigut\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{AD2C43E4-25FF-4C50-9B7B-314E882239AE}] => (Allow) C:\Users\iigut\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [TCP Query User{FB67021F-1009-44C7-892C-8035D5A58F02}D:\games\heroes of the storm\versions\base88936\heroesofthestorm_x64.exe] => (Allow) D:\games\heroes of the storm\versions\base88936\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [UDP Query User{94F73DF6-2733-400F-B95F-76C78FDB6AAD}D:\games\heroes of the storm\versions\base88936\heroesofthestorm_x64.exe] => (Allow) D:\games\heroes of the storm\versions\base88936\heroesofthestorm_x64.exe => Нет файла
FirewallRules: [TCP Query User{705EFDE7-1AA1-4404-A347-84696E608163}D:\games\starcraft ii\versions\base89165\sc2_x64.exe] => (Block) D:\games\starcraft ii\versions\base89165\sc2_x64.exe => Нет файла
FirewallRules: [UDP Query User{CDA03B74-A768-4236-AD34-76FF2E4274EB}D:\games\starcraft ii\versions\base89165\sc2_x64.exe] => (Block) D:\games\starcraft ii\versions\base89165\sc2_x64.exe => Нет файла
FirewallRules: [TCP Query User{5EE1FE73-82E3-46C6-A8AE-3628DCA6155F}C:\users\iigut\downloads\pony island v1.22 [steam-rip]\pony island\ponyisland.exe] => (Allow) C:\users\iigut\downloads\pony island v1.22 [steam-rip]\pony island\ponyisland.exe => Нет файла
FirewallRules: [UDP Query User{294EBB6F-FBED-4A1D-8597-4C64ED6CD979}C:\users\iigut\downloads\pony island v1.22 [steam-rip]\pony island\ponyisland.exe] => (Allow) C:\users\iigut\downloads\pony island v1.22 [steam-rip]\pony island\ponyisland.exe => Нет файла
FirewallRules: [TCP Query User{4CB72642-E47D-4EAF-B620-52E9B50851A3}D:\games\steam\steam.exe] => (Allow) D:\games\steam\steam.exe => Нет файла
FirewallRules: [UDP Query User{154F2C6A-F050-48B9-B262-7C0B30BBCEDB}D:\games\steam\steam.exe] => (Allow) D:\games\steam\steam.exe => Нет файла
FirewallRules: [{6D01F07A-A8C2-44EF-9871-C1D7A9D7EA5B}] => (Allow) D:\Games\Steam\steam.exe => Нет файла
FirewallRules: [{6363798A-3151-43BC-91FD-6E63E4D8DD7E}] => (Allow) D:\Games\Steam\steam.exe => Нет файла
FirewallRules: [{92A97AC0-A371-45C5-A094-51C5E8BF59B5}] => (Allow) D:\Games\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{C230B1CE-28F1-49D9-B872-5C1DE16C7AA7}] => (Allow) D:\Games\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{744AAD48-5FC2-4394-AA32-A672955A9367}D:\games\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\games\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [UDP Query User{45C86BC2-9BE2-4F3D-AC67-6A770E144783}D:\games\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\games\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [{DA50004D-733E-48A9-9A1E-6B68DB612958}] => (Block) D:\games\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [{39E54846-010F-462D-A7DE-EAE3C255DDCE}] => (Block) D:\games\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 
Что с проблемой?
 
Отлично!
Пожалуйста, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Назад
Сверху Снизу