Решена toll.btcmine.2660

[wolfyfancy]

Добрый день,помогите,пожалуйста. Подхватил майнер. Пишу с безопасного режима, т.к. при переходе на форум и на сайты антивирусов браузер сразу же закрывается. Утилитой dr web curelt выявил файл Tool.BtcMine.2660, пробовал им же вылечить,не помогло. На сайт до веб не пускает,закрывает браузер. Логи приложить физически не могу, т.к. в безопасном режиме доктор веб его в принципе не видит. AVbr не открывается нигде, в безопасном режиме выходит окно: "операция отменена из-за ограничений действующих на этом компьютере обратитесь к администратору"", gpedit отсутствует, открыть не удаётся.

 

[regist]

AVbr не открывается нигде, в безопасном режиме выходит окно: "операция отменена из-за ограничений действующих на этом компьютере обратитесь к администратору"",

Переименуйте утилиту.
И если в обычном не будет работать, то запускайте в безопасном с поддержкой сети.

 

[wolfyfancy]

Переименуйте утилиту.
И если в обычном не будет работать, то запускайте в безопасном с поддержкой сети.

Помогло. Переименовал запустился в безопасном с поддержкой сети. Всё ли сделано? Прикладываю логи

 

[wolfyfancy]

Помогло. Переименовал запустился в безопасном с поддержкой сети. Всё ли сделано? Прикладываю логи

Спрашиваю потому что ощущение, что какие-то глюки остались.

 

[Sandor]

Здравствуйте!

Теперь выполните Правила оформления запроса о помощи и прикрепите необходимое следующим сообщением.

 

[wolfyfancy]

Здравствуйте, прикрепляю собранные логи.

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[wolfyfancy]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:


Файл CheckBrowserLnk.log
из папки
перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Всё сделал, файлы прикладываю.

 

[Sandor]

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Просто пишите в нижнем поле быстрого ответа.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {19F4CF59-894C-4E7C-A2B5-8CDB320060F7} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {38779FDC-1282-4197-A533-41D45BF2CD2C} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {5F69D311-FA3E-493E-B5F3-EA0CF19C851C} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {768040A6-62C5-418A-B90C-CD38DA9D3A76} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {846943A4-B170-41DD-8B24-DF5E72213378} - System32\Tasks\GameNet => C:\Program Files (x86)\QGNA\qGNA.exe /minimized (Нет файла)
  Task: {993953A5-0483-45AB-8B7E-98B41CF0A71C} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe -task (Нет файла)
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  FirewallRules: [{C79A5289-8551-483F-BDAE-2B685281D4F7}] => (Allow) LPort=8888
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[wolfyfancy]

Прикрепляю логи

 

[Sandor]

Если проблема решена, завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[wolfyfancy]

Прикрепляю.

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.24.0.123 v.3.24.0.123 Внимание! Скачать обновления
Python 3.8.2 (32-bit) v.3.8.2150.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.8.4.4 Внимание! Скачать обновления
TeamViewer v.15.25.8 Внимание! Скачать обновления
Python 2.7.17 v.2.7.17150 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.16.4490 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.05 (x64) v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.70 бета 1 (64-разрядная) v.5.70.1 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.9 Данная программа больше не поддерживается разработчиком.
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.9163 Внимание! Скачать обновления
Zoom v.5.9.7 (3931) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.4.3.1 v.4.4.3.1 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
iTunes v.12.12.2.2 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Audacity 2.3.3 v.2.3.3 Внимание! Скачать обновления
K-Lite Codec Pack 14.7.5 Full v.14.7.5 Внимание! Скачать обновления
VLC media player v.3.0.16 Внимание! Скачать обновления
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.32.0.0.116 Внимание! Скачать обновления
Adobe Shockwave Player v.12.3.5.205 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player (x64) (All users) v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.0.5.0038 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1901 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

По возможности исправьте перечисленное.
Читайте Рекомендации после удаления вредоносного ПО

 

[wolfyfancy]

Спасибо за помощь!

 

[Sandor]

Удачи и не болейте!