Перейти к содержанию
Правила раздела
Пройди опрос про новый продукт, получи приз

[РЕШЕНО] поймал майнер btcmine 2711, пытался лечить cure it, после перезагрузки он опять появляется

clashdash

Автор clashdash,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

clashdash

clashdash 0

Опубликовано
Опубликовано

поймал майнер btcmine 2711, пытался лечить cure it, после перезагрузки он опять появляется при проверке. В безопасном режиме запустил утилиту AV block remover, она нашла пользователя John и удалила. Что нужно сделать еще ?

AV_block_remove_2023.04.20-23.20.log

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 172

Опубликовано
Опубликовано

Здравствуйте!

 

В целом AVbr справился хорошо, остались только некоторые хвосты.

 

Программы от IObit относятся к нежелательному ПО, поэтому деинсталлируйте IObit Uninstaller 12.

 

"Пофиксите" в HijackThis (только следующие строки): 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)

 

Перезагрузите компьютер вручную.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 172

Опубликовано
Опубликовано

Удалите принудительно через Geek Uninstaller

 

 

Затем:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR Notifications: Default -> hxxps://1.biqund.com; hxxps://10.biqund.com; hxxps://100.biqund.com; hxxps://100.cepoqez.com; hxxps://11.biqund.com; hxxps://12.biqund.com; hxxps://13.biqund.com; hxxps://14.biqund.com; hxxps://15.biqund.com; hxxps://16.biqund.com; hxxps://17.biqund.com; hxxps://18.biqund.com; hxxps://19.biqund.com; hxxps://2.biqund.com; hxxps://20.biqund.com; hxxps://21.biqund.com; hxxps://22.biqund.com; hxxps://23.biqund.com; hxxps://24.biqund.com; hxxps://25.biqund.com; hxxps://26.biqund.com; hxxps://27.biqund.com; hxxps://28.biqund.com; hxxps://29.biqund.com; hxxps://3.biqund.com; hxxps://30.biqund.com; hxxps://31.biqund.com; hxxps://32.biqund.com; hxxps://34.biqund.com; hxxps://35.biqund.com; hxxps://36.biqund.com; hxxps://37.biqund.com; hxxps://38.biqund.com; hxxps://39.biqund.com; hxxps://4.biqund.com; hxxps://40.biqund.com; hxxps://41.biqund.com; hxxps://42.biqund.com; hxxps://43.biqund.com; hxxps://44.biqund.com; hxxps://45.biqund.com; hxxps://46.biqund.com; hxxps://47.biqund.com; hxxps://48.biqund.com; hxxps://49.biqund.com; hxxps://5.biqund.com; hxxps://5.cepoqez.com; hxxps://50.biqund.com; hxxps://51.biqund.com; hxxps://52.biqund.com; hxxps://53.biqund.com; hxxps://54.biqund.com; hxxps://55.biqund.com; hxxps://56.biqund.com; hxxps://57.biqund.com; hxxps://58.biqund.com; hxxps://58.cepoqez.com; hxxps://59.biqund.com; hxxps://6.biqund.com; hxxps://60.biqund.com; hxxps://61.biqund.com; hxxps://62.biqund.com; hxxps://63.biqund.com; hxxps://64.biqund.com; hxxps://65.biqund.com; hxxps://66.biqund.com; hxxps://67.biqund.com; hxxps://68.biqund.com; hxxps://69.biqund.com; hxxps://7.biqund.com; hxxps://7.cepoqez.com; hxxps://70.biqund.com; hxxps://71.biqund.com; hxxps://72.biqund.com; hxxps://73.biqund.com; hxxps://73.cepoqez.com; hxxps://74.biqund.com; hxxps://75.biqund.com; hxxps://76.biqund.com; hxxps://77.biqund.com; hxxps://78.biqund.com; hxxps://78.cepoqez.com; hxxps://79.biqund.com; hxxps://8.biqund.com; hxxps://80.biqund.com; hxxps://81.biqund.com; hxxps://82.biqund.com; hxxps://83.biqund.com; hxxps://84.biqund.com; hxxps://85.biqund.com; hxxps://86.biqund.com; hxxps://87.biqund.com; hxxps://88.biqund.com; hxxps://9.biqund.com; hxxps://90.biqund.com; hxxps://91.biqund.com; hxxps://92.biqund.com; hxxps://93.biqund.com; hxxps://94.biqund.com; hxxps://95.biqund.com; hxxps://96.biqund.com; hxxps://97.biqund.com; hxxps://98.biqund.com; hxxps://99.biqund.com; hxxps://bvideo.pro; hxxps://music.yandex.ru
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 172

Опубликовано
Опубликовано

Отлично!

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
Sandor

Sandor 1 172

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Sector123
      Процесс утилиты печати на ноуте в диспетчере задач. Сильно нагружает память компа.
      От Sector123
      Здравствуйте. 

      Походу словил вирусняк, не часто, но постоянно появляться процесс "Утилита Печати" на компе и начинает очень нагружать его, начинают лагать игры. 

      Я нажимал "Снять задачу" и процесс пропадал, и комп работал нормально до перезагрузки. (Пока что этого процесса нету, не могу прислать фотку) 

      Вирусняк ли это?

       
    • Andrew99
      [РЕШЕНО] NET:MALWARE.URL tool.btcmine.2711
      От Andrew99
      Обычно я очень аккуратен, но вот первый раз в жизни словил серьезный вирус, до этого максимум трояны раз в несколько лет. Видел уже точно такую же ситуацию на этом форуме от пользователя Tossik. В целом почти все как у него. Не открываются сайты с антивирусом. С трудом скачал dr.web curelt. Было обнаружено NET:MALWARE.URL tool.btcmine.2711 от MicrosoftHost.exe. С tool.btcmine.2711 происходит перемещение в карантин , с NET:MALWARE.URL ошибка лечения . После перезагрузки все по новой. Через какое то время после открытия закрывается диспетчер задач. Сразу же закрывается папка ProgramData. Как я понимаю, вирус находится именно там в папке WindowsTask, судя по результатам Dr. Web. Переустанавливать Windows очень не хочется, потому что придется под чистую форматировать оба диска, а на жестком у меня очень важные данные по работе. Не знаю, стоило ли вообще создавать новую тему, или сделать все как было в теме Tossik. Наверное двух полностью одинаковых ситуаций не бывает. Сбор логов проводил в безопасном режиме с поддержкой сетевых драйверов
      CollectionLog-2023.06.03-10.15.zip
    • AAAAAAAAAAAABA
      Powershell занимает 2,5 гб оперативной памяти и нагружает процессор на 50%
      От AAAAAAAAAAAABA
      Уже 2 месяца как powershell периодически (закономерности не заметил) подрубается и тормозит комп.
      Dr. Web Cureit при последней проверке (1 июня 2023) ничего не обнаружил
      Прилагаю лог
       
      CollectionLog-2023.06.01-12.47.zip
    • evill
      Поймал майнер, помогите
      От evill
      Добрый день!
      Поймал майнер который закрывает всё, в том числе и avbr с автологгером. Во вложении логи frst и hijackthis, которые получил из безопасного режима. Помогите, пожалуйста!
      FR_ST.txt Add_ition.txt HiJackThis.log
    • Columbus
      Удаление майнеров и троянов
      От Columbus
      Снова здравствуйте! На основе помощи по моей предыдущей теме, решил вылечить второй пк, но столкнулся с проблемой при запуске AV block remover. Предоставляю пример ошибки и логи.


      CollectionLog-2023.05.24-21.17.zip
×
×
  • Создать...