Решена tool.btcmine.2662/2663

Статус
В этой теме нельзя размещать новые ответы.

Kolkata

Новый пользователь
Сообщения
8
Реакции
0
Доброго времени суток! Давеча решил проверить ноутбук на вирусы, т.к до этого из соображения безопасности использовался только встроенный Microsoft defender. Полез качать Dr.Web Curelt и хром вылетел сразу при переходе по первой ссылке. Потом ещё раз, ещё и ещё. Через смартфон прогуглил проблему и ответ был один - Майнер. Через телефон скачал curelt, скинул на ноут и запустил проверку без интернета. В первую проверку выдал Tool.BtcMine.2660 - удалил.
На след день ещё одна проверка и как итог явились новые "приятели"(см фото)
Многое у вас здесь изучил, но самостоятельно лезть побоялся. Прошу помочь уничтожить дрянь раз и навсегда. Заранее спасибо)
Пс троян поборол)
IMG_20221105_233534.jpg
 
Доброго времени суток! Давеча решил проверить ноутбук на вирусы, т.к до этого из соображения безопасности использовался только встроенный Microsoft defender. Полез качать Dr.Web Curelt и хром вылетел сразу при переходе по первой ссылке. Потом ещё раз, ещё и ещё. Через смартфон прогуглил проблему и ответ был один - Майнер. Через телефон скачал curelt, скинул на ноут и запустил проверку без интернета. В первую проверку выдал Tool.BtcMine.2660 - удалил.
На след день ещё одна проверка и как итог явились новые "приятели"(см фото)
Многое у вас здесь изучил, но самостоятельно лезть побоялся. Прошу помочь уничтожить дрянь раз и навсегда. Заранее спасибо)
Пс троян поборол)
Посмотреть вложение 64210
Так же нашелся BAT hosts 187
 
Ещё раз запустите и выполните AVbr. После перезагрузки прикрепите его новый отчёт.

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Ещё раз запустите и выполните AVbr. После перезагрузки прикрепите его новый отчёт.

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

  • AV_block_remove_2022.11.06-21.52.log
    9.1 KB · Просмотры: 2
  • Addition.txt
    151 KB · Просмотры: 4
  • FRST.txt
    43.4 KB · Просмотры: 5
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2731266560-1428087558-3532491819-1001\...\MountPoints2: {06aa63f0-0767-11ed-a5e7-7c0507c2e51b} - "D:\AUTORUN.EXE" 
    HKU\S-1-5-21-2731266560-1428087558-3532491819-1001\...\MountPoints2: {685cad29-25ea-11ec-a59c-7c0507c2e51b} - "D:\autorun.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {1D5CA380-554B-4A01-9683-666F7A7EDABD} - System32\Tasks\Driver Booster SkipUAC (Дом) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe /skipuac (Нет файла)
    AV: Malwarebytes (Disabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
    AlternateDataStreams: C:\MountUUP:$WIMMOUNTDATA [642]
    AlternateDataStreams: C:\Temp:CKS8MPVneXcqWIQNV7ce7OLM [2008]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [468]
    HKU\S-1-5-21-2731266560-1428087558-3532491819-1001\Software\Classes\regfile: regedit.exe "%1" <==== ВНИМАНИЕ
    FirewallRules: [{067568B2-1B2E-43AA-AE8C-495E47293AE4}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{B6A9B47F-0AF3-4C2E-AC0E-D2FC7F9D958F}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2731266560-1428087558-3532491819-1001\...\MountPoints2: {06aa63f0-0767-11ed-a5e7-7c0507c2e51b} - "D:\AUTORUN.EXE"
    HKU\S-1-5-21-2731266560-1428087558-3532491819-1001\...\MountPoints2: {685cad29-25ea-11ec-a59c-7c0507c2e51b} - "D:\autorun.exe"
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {1D5CA380-554B-4A01-9683-666F7A7EDABD} - System32\Tasks\Driver Booster SkipUAC (Дом) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe /skipuac (Нет файла)
    AV: Malwarebytes (Disabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
    AlternateDataStreams: C:\MountUUP:$WIMMOUNTDATA [642]
    AlternateDataStreams: C:\Temp:CKS8MPVneXcqWIQNV7ce7OLM [2008]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [468]
    HKU\S-1-5-21-2731266560-1428087558-3532491819-1001\Software\Classes\regfile: regedit.exe "%1" <==== ВНИМАНИЕ
    FirewallRules: [{067568B2-1B2E-43AA-AE8C-495E47293AE4}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
    FirewallRules: [{B6A9B47F-0AF3-4C2E-AC0E-D2FC7F9D958F}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Ох, перед исправлением нужно было создать txt файл fixlist.txt с вашим кодом? Или и без него всё получится? Нужно ли мне повторить ещё раз, но с fixlist.txt?
 

Вложения

  • Fixlog.txt
    5.4 KB · Просмотры: 5
Последнее редактирование:
Нет, вы всё сделали правильно. Просто существует два способа выполнения скрипта.

Подведём итог - проблема решена?
 
Нет, вы всё сделали правильно. Просто существует два способа выполнения скрипта.

Подведём итог - проблема решена?
Огромное спасибо! Да, вирусов больше не находит. Вы уберегли мои нервные клетки)))
 
Отлично! Тогда в завершение и на будущее:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Отлично! Тогда в завершение и на будущее:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Вложения

  • SecurityCheck.txt
    12 KB · Просмотры: 5
--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.30.2 v.2.30.2 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
Microsoft Office PowerPoint 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.4.4152 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Skype, версия 8.88 v.8.88 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
Zona Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP 5.00.2338 v.5.00.2338 Внимание! Скачать обновления
K-Lite Mega Codec Pack 17.2.0 v.17.2.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.32.0.0.89 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Shockwave Player 12.3 v.12.3.4.204 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
swMSM v.12.0.0.1 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
---------------------------- [ UnwantedApps ] -----------------------------
DLL-Files.com Fixer Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VkAudioSaver v2.0.6 v.v2.0.6 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


По возможности исправьте перечисленное.
Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу