Решена Удаление tool.btcmine.2660

Статус
В этой теме нельзя размещать новые ответы.
R

RaginBear

Новый пользователь
Сообщения
8
Реакции
0
Доброго времени суток, после установки паленого кряка игры появился майнер, который определяется Dr. Web CureIt!, но не лечится. MalwareBytes как и KVRT не устанавливаются, ADWcleaner не находит угроз. После отработки CureIt и ребута проходит около минуты без странностей, потом все повторяется заново: бразуер крашится на страницах антивирусов и форума, gpedit закрывается сразу после открытия. Чистка Policies от лишнего в реестре тоже не помогла.
 
Последнее редактирование:
АвтоЛоггер заканчивает работу на открытии браузеров. Создается одноименная папка с утилитами и двумя отчетами, архива не наблюдаю. Отчеты прикрепляю.
 

Вложения

  • report1.log
    844 байт · Просмотры: 2
  • report2.log
    1.2 KB · Просмотры: 3
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером в обычном режиме загрузки.
 
По итогу запускал безопасный режим с поддержкой сети, AVbr отработал, АвтоЛоггер в обычном режиме тоже без инцидентов, логи прикрепляю.
 

Вложения

  • AV_block_remove_2022.08.18-17.27.log
    6.5 KB · Просмотры: 7
  • CollectionLog-2022.08.18-17.33.zip
    66.3 KB · Просмотры: 6
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Прикрепляю.
 

Вложения

  • Addition.txt
    61.2 KB · Просмотры: 7
  • FRST.txt
    37 KB · Просмотры: 6
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\Run: [Genshin Impact_launcher_pcseaepic_1_3] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Прикрепляю.
 

Вложения

  • Fixlog.txt
    4.6 KB · Просмотры: 3
Проверяйте, что с проблемой.
 
Проблема отсутствует, уже как полчаса полет нормальный, спасибо огромное!
 
Тогда финализируем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
 
Только сейчас руки добрались.
 

Вложения

  • SecurityCheck.txt
    8.1 KB · Просмотры: 5
Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.21.0.36 v.3.21.0.36 Внимание! Скачать обновления
GitHub Desktop v.2.9.4 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 281 (64-bit) v.8.0.2810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-x64.exe - Windows Offline (64-bit))^

И удачи!
 
Большое спасибо, всего вам наилучшего!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу