[РЕШЕНО] поймал майнер btcmine 2711, пытался лечить cure it, после перезагрузки он опять появляется

[clashdash]

поймал майнер btcmine 2711, пытался лечить cure it, после перезагрузки он опять появляется при проверке. В безопасном режиме запустил утилиту AV block remover, она нашла пользователя John и удалила. Что нужно сделать еще ?

AV_block_remove_2023.04.20-23.20.log

[clashdash]

почитал похожие темы, по аналогии запустил автологер

CollectionLog-2023.04.20-23.51.zip

[Sandor]

Здравствуйте!

 

В целом AVbr справился хорошо, остались только некоторые хвосты.

 

Программы от IObit относятся к нежелательному ПО, поэтому деинсталлируйте IObit Uninstaller 12.

 

"Пофиксите" в HijackThis (только следующие строки):

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)

 

Перезагрузите компьютер вручную.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[clashdash]

При попытке удалить iobit uninstaller 12 появляется ошибка(скрин прикрепляю)

Addition.txt FRST.txt

[Sandor]

Удалите принудительно через Geek Uninstaller

 

 

Затем:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR Notifications: Default -> hxxps://1.biqund.com; hxxps://10.biqund.com; hxxps://100.biqund.com; hxxps://100.cepoqez.com; hxxps://11.biqund.com; hxxps://12.biqund.com; hxxps://13.biqund.com; hxxps://14.biqund.com; hxxps://15.biqund.com; hxxps://16.biqund.com; hxxps://17.biqund.com; hxxps://18.biqund.com; hxxps://19.biqund.com; hxxps://2.biqund.com; hxxps://20.biqund.com; hxxps://21.biqund.com; hxxps://22.biqund.com; hxxps://23.biqund.com; hxxps://24.biqund.com; hxxps://25.biqund.com; hxxps://26.biqund.com; hxxps://27.biqund.com; hxxps://28.biqund.com; hxxps://29.biqund.com; hxxps://3.biqund.com; hxxps://30.biqund.com; hxxps://31.biqund.com; hxxps://32.biqund.com; hxxps://34.biqund.com; hxxps://35.biqund.com; hxxps://36.biqund.com; hxxps://37.biqund.com; hxxps://38.biqund.com; hxxps://39.biqund.com; hxxps://4.biqund.com; hxxps://40.biqund.com; hxxps://41.biqund.com; hxxps://42.biqund.com; hxxps://43.biqund.com; hxxps://44.biqund.com; hxxps://45.biqund.com; hxxps://46.biqund.com; hxxps://47.biqund.com; hxxps://48.biqund.com; hxxps://49.biqund.com; hxxps://5.biqund.com; hxxps://5.cepoqez.com; hxxps://50.biqund.com; hxxps://51.biqund.com; hxxps://52.biqund.com; hxxps://53.biqund.com; hxxps://54.biqund.com; hxxps://55.biqund.com; hxxps://56.biqund.com; hxxps://57.biqund.com; hxxps://58.biqund.com; hxxps://58.cepoqez.com; hxxps://59.biqund.com; hxxps://6.biqund.com; hxxps://60.biqund.com; hxxps://61.biqund.com; hxxps://62.biqund.com; hxxps://63.biqund.com; hxxps://64.biqund.com; hxxps://65.biqund.com; hxxps://66.biqund.com; hxxps://67.biqund.com; hxxps://68.biqund.com; hxxps://69.biqund.com; hxxps://7.biqund.com; hxxps://7.cepoqez.com; hxxps://70.biqund.com; hxxps://71.biqund.com; hxxps://72.biqund.com; hxxps://73.biqund.com; hxxps://73.cepoqez.com; hxxps://74.biqund.com; hxxps://75.biqund.com; hxxps://76.biqund.com; hxxps://77.biqund.com; hxxps://78.biqund.com; hxxps://78.cepoqez.com; hxxps://79.biqund.com; hxxps://8.biqund.com; hxxps://80.biqund.com; hxxps://81.biqund.com; hxxps://82.biqund.com; hxxps://83.biqund.com; hxxps://84.biqund.com; hxxps://85.biqund.com; hxxps://86.biqund.com; hxxps://87.biqund.com; hxxps://88.biqund.com; hxxps://9.biqund.com; hxxps://90.biqund.com; hxxps://91.biqund.com; hxxps://92.biqund.com; hxxps://93.biqund.com; hxxps://94.biqund.com; hxxps://95.biqund.com; hxxps://96.biqund.com; hxxps://97.biqund.com; hxxps://98.biqund.com; hxxps://99.biqund.com; hxxps://bvideo.pro; hxxps://music.yandex.ru
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[clashdash]

Fixlog.txt

[Sandor]

Проблема решена?

[clashdash]

Огромное спасибо, всё супер!!! 

[Sandor]

Отлично!

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".