Решена Проблема с Tool.Btcmine 2660 и Tool.Btcmine 2665

Статус
В этой теме нельзя размещать новые ответы.

Mishalka

Новый пользователь
Сообщения
11
Реакции
0
Здравствуйте, вчера после очередной закачки заметил чрезмерную загрузку ГП и ЦП, до 100% в простое. Я начал гуглить и пытаться решить всё самостоятельно, но абсолютно все мои попытки скачать и запустить разные антивирусы закончились провалом - машина победила. После нескольких часов поисков, проб и ошибок я смог запустить Dr. Web CureIt через LiveUSB. После сканирования он нашёл несколько майнеров Tool.Btcmine 2660 и 2665, а также горсть других вредоносных файлов, после чего изолировал их. Я подумал что проблема решена, но после перезапуска в стандартном режиме всё было по-старому. Я начал гуглить проблему и наткнулся на этот сайт.

Как и большинство антивирусных программ автологгер попросту блокируется вирусом, так что сканирование проводилось в безопасном режиме с доступом в сеть. Логи прилагаю.

Заранее спасибо за помощь.
 

Вложения

  • CollectionLog-2022.08.24-05.55.zip
    54.2 KB · Просмотры: 8
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 
В обычном режиме через несколько секунд после запуска программы выбивало на экран выбора пользователя, запускал в безопасном. После работы утилиты и перезагрузки ничего не изменилось, запуск автологгера приводит к выходу из системы, а скрытая учётка всё ещё висит.

Приложил лог AVBR и всё что нашёл после автологгера.
 

Вложения

  • AV_block_remove_2022.08.24-10.34.log
    45.9 KB · Просмотры: 4
  • report1.log
    479 байт · Просмотры: 3
Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)
Код:
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe (disabled)
Попробуйте теперь запустить AVBR в обычном режиме.
 
Я не знаю как вам это удалось, но вы утилиту не с правами администратора запускали.
Запустите снова от имени админа.
 
И Автологер тоже с ограниченными правами запускали, а всё-того что всё делали из под учётки не имеющей права админа: Ran by: Keregen Daram (group: Limited Users)
 
а всё-того что всё делали из под учётки не имеющей права админа
Как я могу это исправить? Всё запускал от администратора, с единственной учётки компьютера.
 
Выполните в безопасном режиме (возможно потребуется переименование файла перед запуском).

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
Готово
 

Вложения

  • FRST.rar
    23.5 KB · Просмотры: 4
Да, права у Вашей учетки отобраны и назначены только для учетки John.
 
Есть возможность это исправить?
 
Раньше был хороший ремкомплект под названием ERD Commander. Есть ли такое под десятку (и можно ли доверять тому, что выдается поиском в интернете якобы для десятки) трудно сказать.
 
Понял, спасибо. Буду искать способы.
 
Понял, спасибо. Буду искать способы.
Я бы для начала попробовал войти всё-таки в уже имеющуюся у вас учётку администратора.
DefaultAccount (S-1-5-21-2339241961-151972442-2318145690-503 - Limited - Disabled)
John (S-1-5-21-2339241961-151972442-2318145690-1002 - Administrator - Enabled)
Keregen Daram (S-1-5-21-2339241961-151972442-2318145690-1001 - Limited - Enabled) => C:\Users\Keregen Daram
WDAGUtilityAccount (S-1-5-21-2339241961-151972442-2318145690-504 - Limited - Disabled)
Администратор (S-1-5-21-2339241961-151972442-2318145690-500 - Administrator - Disabled)
Гость (S-1-5-21-2339241961-151972442-2318145690-501 - Limited - Disabled)
 
Последнее редактирование:
Пробуйте активировать Администратор
Если у вас есть Live CD и умеете работать с удалённым реестром, то в ЛС могу подсказать как ещё другую учётку разблокировать.
 
Live CD у меня нет, в компьютерных делах разбираюсь постольку поскольку, так что особо сложные махинации это не про меня.

Пока искал решение возникло несколько вопросов:
Может ли вирус перемещаться и заразить подключенные устройства, типа телефона или флешки?
Если я полностью переустановлю систему, с полной очисткой дисков, этого будет достаточно для нейтрализации вируса?
 
Пока искал решение возникло несколько вопросов:
Может ли вирус перемещаться и заразить подключенные устройства, типа телефона или флешки?
Конкретно этот вирус не заражает другие устройства, правда устанавливает утилиту удалённого управления и в теории автор вируса удалённо может делать, что захочет.
Если я полностью переустановлю систему, с полной очисткой дисков, этого будет достаточно для нейтрализации вируса?
Да.
 
Спасибо за помощь, тогда просто перекатаю систему, все равно уже пора.
 
А по способ по ссылке с активацией учётки администратора, пробовали?
 
Да, и не только его. Нашел в интернете ещё несколько способов, по итогу всё упирается в необходимость системы на внешнем носителе. Мне будет проще и быстрее просто переустановить систему, чем разбираться в этом.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу