Решена Помогите удалить tool.btc.miner2660

Статус
В этой теме нельзя размещать новые ответы.
O

Oleja

Новый пользователь
Сообщения
18
Реакции
2
Скачал игру с bytor. ru, на следующий день комп стал тормозить, проц загружен на 100% процессом com surrogate. Скачать ан******сы не получается, т.к. браузер закрывается на страницах с этим словом. Установщики с облака не запускаются, либо запускаются, но установка ничем не завершается. Запустил др.веб сканнер, с его помощью удалил файл из названия темы. В Program Data есть несколько пустых папок, доступ в которые запрещен даже из под администратора. После перезагрузки компа удаленный файл восстанавливается
 

Вложения

  • report1.log
    866 байт · Просмотры: 12
  • report2.log
    1.2 KB · Просмотры: 5
Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

После подготовьте логи по правилам Правила оформления запроса о помощи
 
Нужно запустить файл taskhostw? Как долго ждать окончания процедур?
 
Нужно запустить исполняемый файл, далее все автоматом, утилиту переименовали? Похоже она закрыта вредоносом после распаковки. Если переименовали и запустили, а она закрылась, то нужно ее запустить а безопасном режиме.
 
Утилита AVZ закрывается самопроизвольно
 
Так и будет пока не пролечите систему AV block remover. Зловред крайне агрессивный.
 
Логи
 

Вложения

  • CollectionLog-2022.07.31-13.47.zip
    48.5 KB · Просмотры: 6
  • AV_block_remove_2022.07.31-13.34.log
    11.3 KB · Просмотры: 7
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O26 - Debugger: HKLM\..\EOSNOTIFY.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\InstallAgent.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\MusNotification.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\MUSNOTIFICATIONUX.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\remsh.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\SIHClient.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UpdateAssistant.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UPFC.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UsoClient.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WaaSMedic.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WaasMedicAgent.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\Windows10Upgrade.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WINDOWS10UPGRADERAPP.EXE: [Debugger] = * (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
+ Скачайте свежую версию и повторите из обычного режима
akok написал(а):
Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Нажмите для раскрытия...
 
Хорошо
 
Последнее редактирование:
+ Скачайте свежую версию и повторите из обычного режима


Скачивал сегодня
 
Последнее редактирование:
Логи
 

Вложения

  • CollectionLog-2022.07.31-14.47.zip
    47.8 KB · Просмотры: 3
  • FRST.txt
    31.3 KB · Просмотры: 4
  • Addition.txt
    55.1 KB · Просмотры: 5
Oleja написал(а):
+ Скачайте свежую версию и повторите из обычного режима


Скачивал сегодня
Нажмите для раскрытия...
Тем не менее у вас не самая последняя версия и из обычного режима вообще не запускали. Как следствие у вас до конца не пролечило.
 
Где скачать последнюю и как запустить из обычного?
 
Скачиваете по прежней ссылке актуальную версию AVBR, загружаетесь в обычном режиме и запускаете :)
 
Скачал повторно АВБР (версия файла та же), перезагрузил комп, запустил прогу
 

Вложения

  • AV_block_remove_2022.07.31-16.27.log
    6.7 KB · Просмотры: 4
Зато версия скрипта другая.
 
Что-то еще нужно делать?
 
Да, нужны тогда свежие логи FRST, нужно посмотреть, что осталось от майнера. Заодно можете проверить, поведение ПК, какие из симптомов остались.
 
Браузер не закрывается, проц не нагружается, появился антивирус, который я пытался установить во время заражения
 

Вложения

  • Addition.txt
    53.6 KB · Просмотры: 3
  • FRST.txt
    30.9 KB · Просмотры: 3
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу