Решена Помогите снести Tool.BtcMine2711

Статус
В этой теме нельзя размещать новые ответы.

IvanP

Новый пользователь
Сообщения
7
Реакции
1
Приветствую. Неосмотрительно занёс в компьютер майнер. Заметил неладное, когда во время игры компьютер стал очень сильно тормозить там, где этого никогда не происходило. Залез в диспетчер задач - было пусто, ни одного процесса который нагружал бы железо. К тому же, спустя несколько минут диспетчер сам закрывается. Подождал пока ситуация не повторится и посмотрел процессы во встроенном игровом оверлее Windows комбинацией Win+G. Там бросился в глаза процесс WMI Provider Host. После некоторых поисков стало понятно что это. Поставил DoctorWeb, он нашёл конкретно майнер с названием как в теме, по после удаления оного и перезагрузки компьютера эффект оставался. Так же попробовал Loaris Trojan Remover, но итог такой же. Прочитал несколько тем по этой проблеме и понимаю что без посторонней и индивидуальной помощи тут не обойтись. Начал писать данную тему, пытался скачать автологер, но, как и у других пострадавших, браузер просто закрывался при попытке зайти на страничку с ним. Благодаря данной Решена - майнер tool.btcmine.2711 теме установил программу, после процедур которой удалось скачать и воспользоваться логером. Сам майнер больше не запускается, но, очевидно, этого недостаточно для полного лечения компьютера, поэтому обращаюсь за помощью по форме.
 

Вложения

И ещё логи после первого пользования AV block remove. Согласно указанной теме, их тоже нужно прикрепить.
 

Вложения

Здравствуйте!

попробовал Loaris Trojan Remover, но итог такой же
Вот и удалите его из системы как бесполезный.

Внешне "тормоза" уже пропали?

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Хорошо, удалил :)

По поводу тормозов не могу сказать, пока ещё не запускал ничего тяжёлого, но в процессе совершения всех процедур WMI Provider Host не появлялся, а значит и систему ничего лишнего не нагружает.

Запрашиваемые логи прилагаются.
 

Вложения

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-3255515860-1819334027-4222069136-1001\...\MountPoints2: {cc3f4e18-3154-11ee-be50-107b4415d2f9} - "H:\setup.exe" 
    HKU\S-1-5-21-3255515860-1819334027-4222069136-1001\...\MountPoints2: {ccac5643-fc74-11eb-bd2e-107b4415d2f9} - "I:\sources\setup.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {08BB1A43-A878-4CEE-9E11-B2EA28695234} - System32\Tasks\Trojan Remover => "D:\Program Files\Loaris Trojan Remover\ltr.exe"  (Нет файла)
    S1 rhivmeot; \??\C:\Windows\system32\drivers\rhivmeot.sys [X]
    2023-08-31 13:01 - 2023-08-31 13:01 - 000000000 __SHD C:\ProgramData\princeton-produce
    AlternateDataStreams: C:\Users\gskov:Heroes & Generals [38]
    AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [134]
    FirewallRules: [{C5C92B90-8C11-43AB-86BA-BA74AA684C20}] => (Allow) LPort=57209
    FirewallRules: [{7E0E032C-A6DD-48F2-9C50-C8507498F2A4}] => (Allow) LPort=57209
    FirewallRules: [{88C5B571-0503-447F-9B2E-FF0911C78C0A}] => (Allow) LPort=57209
    FirewallRules: [{FA510E08-B50B-41A3-9BCF-A8D8A07EF96D}] => (Allow) LPort=57210
    FirewallRules: [{0B55824A-CBB7-4E3A-AC61-7976EAEEBACE}] => (Allow) LPort=57211
    FirewallRules: [{905E611F-A231-4065-8235-3E137D23EF8B}] => (Allow) LPort=57212
    FirewallRules: [{989E4739-F65E-425B-8171-3F5ABBBDFAFA}] => (Allow) LPort=57213
    FirewallRules: [{E551086A-9C2D-4CF5-A75F-5B5D03D27B80}] => (Allow) LPort=57214
    FirewallRules: [{D26CA5EA-8288-4CED-A81A-F068DAC58EC0}] => (Allow) LPort=57215
    FirewallRules: [{42530985-BBD5-4550-A6D1-D62BCB08D5B5}] => (Allow) LPort=57216
    FirewallRules: [{80FE1D95-28AD-4248-A716-F722F36C44D4}] => (Allow) LPort=57217
    FirewallRules: [{1E59093F-E8BE-4FD8-961E-FBF8F6E96A6B}] => (Allow) LPort=57218
    FirewallRules: [{6A734AE4-6E90-4A1A-B55F-626F51AF5AB4}] => (Allow) LPort=57209
    FirewallRules: [{BCD14330-23D2-4789-A24E-AFEDE1EF2DC7}] => (Allow) LPort=57210
    FirewallRules: [{F4A2C8D6-E0C9-4B9F-84B1-7C5F5EF0F2E3}] => (Allow) LPort=57211
    FirewallRules: [{649C7E97-6717-4F96-8BB4-386567BDA6F2}] => (Allow) LPort=57212
    FirewallRules: [{90D44973-4947-4546-8673-9C5C745C484D}] => (Allow) LPort=57213
    FirewallRules: [{670175B3-CB95-4B5A-9631-8037BE6A7F36}] => (Allow) LPort=57214
    FirewallRules: [{9949D7DB-99ED-476E-9DA6-2D66A2582BD4}] => (Allow) LPort=57215
    FirewallRules: [{91EF9946-5143-4D5C-9C71-B3CFDF0D190C}] => (Allow) LPort=57216
    FirewallRules: [{6BF520D4-A804-4274-B927-30AD09D69047}] => (Allow) LPort=57217
    FirewallRules: [{D8046C3A-EB68-4A70-B20C-475295796736}] => (Allow) LPort=57218
    FirewallRules: [{603F8820-E007-471E-8178-2B3D76B422B0}] => (Allow) LPort=63007
    FirewallRules: [{E77B1D29-20BA-4739-8088-41B685F71302}] => (Allow) LPort=63008
    FirewallRules: [{38048552-0F4F-4237-A6B9-3FF22342CA1F}] => (Allow) LPort=63009
    FirewallRules: [{B60F70B5-7618-4D69-8E16-FF8CC04279C1}] => (Allow) LPort=63010
    FirewallRules: [{CE9AF28E-801D-4AEE-9E99-D33005830FA3}] => (Allow) LPort=63011
    FirewallRules: [{6D27240B-2C6D-475C-AFE4-9655A66230F4}] => (Allow) LPort=63012
    FirewallRules: [{9EA54F84-225F-4B91-AC89-522C0248E847}] => (Allow) LPort=63013
    FirewallRules: [{FDEB7B65-576D-4108-BDDF-90EA402605C9}] => (Allow) LPort=63014
    FirewallRules: [{94DAB79B-564D-4CF8-AF52-57FB275E9365}] => (Allow) LPort=63015
    FirewallRules: [{4CDC7798-D535-4B66-B343-6E4B1BAEB02F}] => (Allow) LPort=63016
    FirewallRules: [{8B4A9B3C-354D-43AA-BB9E-697F5C8EA941}] => (Allow) LPort=63007
    FirewallRules: [{C82BA4B9-B783-482E-A63D-F9063A95B657}] => (Allow) LPort=63008
    FirewallRules: [{94B0E7C2-3AC3-4CE5-AF75-C8CFB968CBC0}] => (Allow) LPort=63009
    FirewallRules: [{70A59D7D-F839-4FDF-ABB1-A05E92F6346E}] => (Allow) LPort=63010
    FirewallRules: [{4442F157-DD0D-4E1B-9687-226AE52D8463}] => (Allow) LPort=63011
    FirewallRules: [{25A9B171-B221-4F25-8DC6-0E991564136B}] => (Allow) LPort=63012
    FirewallRules: [{0B6B282B-2A9B-4B30-B9E2-3926795CE8FC}] => (Allow) LPort=63013
    FirewallRules: [{C2F5F938-5E0D-42C4-B13C-E8327DA07EB7}] => (Allow) LPort=63014
    FirewallRules: [{1C214FD0-4348-4708-8DFA-F81C80519330}] => (Allow) LPort=63015
    FirewallRules: [{9BCD567D-1C4F-446E-9F45-B0D2F859D6C1}] => (Allow) LPort=63016
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Готово, более никаких проблем не наблюдается.
 
Отлично! Значит завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Исправьте по возомжности:
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен Контроль учётных записей

--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.23.7.1 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.22270 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
IrfanView 4.58 (64-bit) v.4.58 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46846 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 331 (64-bit) v.8.0.3310.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.16 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 101.0.4843.43 v.101.0.4843.43 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v5.83.9050 v.5.83.9050 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
IOBit Driver Booster v9.1.0.156 v.9.1.0.156 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


Читайте Рекомендации после удаления вредоносного ПО
 
Солидный список вышел, все меры обязательно приму. И конечно же спасибо за своевременную и профессиональную консультацию! Всего наилучшего.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу