Перейти к содержанию

Поймал майнер tool.btcmine.2711


Рекомендуемые сообщения

Всех приветствую, в последнее время компьютер стал плохо работать, решил скачать утилиту для проверки пк, при попытке в браузере сделать это он стал закрываться, начал искать информацию по этому поводу с телефона, понял, что подцепил какой-то вирус, с другого пк через флешку закинул себе dr.web cureit, он нашел много разного в том числе tool.btcmine.2711 и вроде бы еще tool.btcmine.2714. По аналогии с другими темами скачал Av block remover и запустил, удалил много чего там в том числе и некоего Джона. Подскажите пожалуйста не остались ли какие-нибудь хвосты.

AV_block_remove_2023.06.08-15.12.log CollectionLog-2023.06.08-15.51.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

В целом AVbr хорошо справился. Почистим некоторые хвосты и мусор.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [NVIDIA Share] = C:\customnpcs\assets\customnpcs\textures\cache\NVIDIA Share.exe (file missing)
O4 - HKCU\..\Run: [PlanetVPN] = C:\PlanetVPN\PlanetVPN.exe (file missing)
O4 - HKCU\..\Run: [System] = C:\.AmadeusRPG\amadeus\stats\System.exe (file missing)
O4 - HKCU\..\StartupApproved\Run: [csrss] = C:\Program Files (x86)\Everything\csrss.exe (file missing) (2023/06/07)
O4 - HKCU\..\StartupApproved\Run: [ctfmon] = C:\Program Files (x86)\WindowsPowerShell\Modules\PackageManagement\1.0.0.1\ru\ctfmon.exe (file missing) (2023/05/11)
O4 - HKCU\..\StartupApproved\Run: [explorer] = C:\Log\ava\ds\explorer.exe (file missing) (2023/05/11)
O4 - HKCU\..\StartupApproved\Run: [SearchApp] = C:\Windows\Downloaded Program Files\SearchApp.exe (file missing) (2023/05/11)
O4 - HKCU\..\StartupApproved\Run: [sihost] = C:\Program Files\Java\jre1.8.0_333\lib\jfr\sihost.exe (file missing) (2023/05/11)
O4 - HKCU\..\StartupApproved\Run: [VKGames] = "C:\Users\PC\AppData\Local\Play Machine\VKApp.exe" -autostart (file missing) (2022/10/21)
O4 - HKLM\..\Run: [NVIDIA Share] = C:\customnpcs\assets\customnpcs\textures\cache\NVIDIA Share.exe (file missing)
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing)
O4 - HKLM\..\Run: [System] = C:\.AmadeusRPG\amadeus\stats\System.exe (file missing)
O4 - HKLM\..\StartupApproved\Run: [csrss] = C:\Program Files (x86)\Everything\csrss.exe (file missing) (2023/05/11)
O4 - HKLM\..\StartupApproved\Run: [ctfmon] = C:\Program Files (x86)\WindowsPowerShell\Modules\PackageManagement\1.0.0.1\ru\ctfmon.exe (file missing) (2023/05/11)
O4 - HKLM\..\StartupApproved\Run: [explorer] = C:\Log\ava\ds\explorer.exe (file missing) (2023/06/07)
O4 - HKLM\..\StartupApproved\Run: [SearchApp] = C:\Windows\Downloaded Program Files\SearchApp.exe (file missing) (2023/05/11)
O4 - HKLM\..\StartupApproved\Run: [ShellExperienceHost] = C:\Gravity\RagnarokBegins(WEST)\ShellExperienceHost.exe (file missing) (2023/05/11)
O4 - HKLM\..\StartupApproved\Run: [sihost] = C:\Program Files\Java\jre1.8.0_333\lib\jfr\sihost.exe (file missing) (2023/06/07)
O4 - HKLM\..\StartupApproved\Run32: [Everything] = C:\Program Files (x86)\Everything\Everything.exe -startup (2022/10/04)
O4 - MountPoints2: HKCU\..\{001ff9af-f935-11ed-81ca-38d5477a3969}\shell\AutoRun\command: (default) = D:\setup.exe (file missing)
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKCU\..\Windows\Explorer: [ShowRunAsDifferentUserInStart] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты

Готово

Отсутствовали 2 эти строчки

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

 

 

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

https://safezone.cc/threads/42659/ проверьте, чтобы эта защита была включена.

 

и почистим немного мусор

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    CustomCLSID: HKU\S-1-5-21-180071362-3636175432-2903123058-1001_Classes\CLSID\{d936918b-9c4b-555e-074a-c79314be04e1}\localserver32 -> "C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe" -ToastActivated => Нет файла
    CustomCLSID: HKU\S-1-5-21-180071362-3636175432-2903123058-1001_Classes\CLSID\{f9517764-05a4-a748-620a-95087d06a241}\localserver32 -> "C:\Program Files\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe" -ToastActivated => Нет файла
    BHO: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\114.0.1823.37\BHO\ie_to_edge_bho_64.dll => Нет файла
    BHO-x32: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\114.0.1823.37\BHO\ie_to_edge_bho.dll => Нет файла
    FirewallRules: [TCP Query User{E3338E21-CD5A-47BF-8A7C-2E4202EFCC81}C:\.rpgworld\java\64\bin\javaw.exe] => (Allow) C:\.rpgworld\java\64\bin\javaw.exe => Нет файла
    FirewallRules: [UDP Query User{234F903A-B899-4F89-A254-A35FC6A4B95D}C:\.rpgworld\java\64\bin\javaw.exe] => (Allow) C:\.rpgworld\java\64\bin\javaw.exe => Нет файла
    FirewallRules: [TCP Query User{182CB06E-D5C2-4FC9-9911-582FA46D9338}C:\.rpgworld\java\64\bin\java.exe] => (Allow) C:\.rpgworld\java\64\bin\java.exe => Нет файла
    FirewallRules: [UDP Query User{C03B348D-130C-430D-962E-01117CC76CC1}C:\.rpgworld\java\64\bin\java.exe] => (Allow) C:\.rpgworld\java\64\bin\java.exe => Нет файла
    FirewallRules: [TCP Query User{E764E9A0-3683-4193-92E8-961A18B61FF8}C:\cifrazia\games\libraries\java\8\bin\java.exe] => (Allow) C:\cifrazia\games\libraries\java\8\bin\java.exe => Нет файла
    FirewallRules: [UDP Query User{A8613C88-54C9-44B5-B192-28B0338E2034}C:\cifrazia\games\libraries\java\8\bin\java.exe] => (Allow) C:\cifrazia\games\libraries\java\8\bin\java.exe => Нет файла
    FirewallRules: [TCP Query User{4F695119-FCA9-434D-A54A-A1BA4E09A822}C:\users\pc\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\pc\appdata\roaming\utorrent web\utweb.exe => Нет файла
    FirewallRules: [UDP Query User{FE72E3C2-5ADE-4B4D-8AD8-A22A619954DC}C:\users\pc\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\pc\appdata\roaming\utorrent web\utweb.exe => Нет файла
    FirewallRules: [TCP Query User{D07AAA0D-ED5B-43A4-894A-80BD6E3414A2}C:\.daggerrpg\java\64\bin\javaw.exe] => (Allow) C:\.daggerrpg\java\64\bin\javaw.exe => Нет файла
    FirewallRules: [UDP Query User{E6600CEA-6C0C-4D12-91D2-0BFAF82F7420}C:\.daggerrpg\java\64\bin\javaw.exe] => (Allow) C:\.daggerrpg\java\64\bin\javaw.exe => Нет файла
    FirewallRules: [TCP Query User{0D753B31-2A42-41F3-8CF2-435ADD4CC450}C:\.daggerrpg\java\64\bin\java.exe] => (Allow) C:\.daggerrpg\java\64\bin\java.exe => Нет файла
    FirewallRules: [UDP Query User{8D97F4ED-7C0E-43AE-9CC1-67B3F325F248}C:\.daggerrpg\java\64\bin\java.exe] => (Allow) C:\.daggerrpg\java\64\bin\java.exe => Нет файла
    FirewallRules: [TCP Query User{E764465A-16D0-48DE-816A-8587660A5A91}C:\users\pc\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\pc\appdata\roaming\utorrent web\utweb.exe => Нет файла
    FirewallRules: [UDP Query User{4F2E5501-2180-4BC2-8AF9-A887E534E1A4}C:\users\pc\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\pc\appdata\roaming\utorrent web\utweb.exe => Нет файла
    FirewallRules: [{7E61AB07-09B3-4862-BE5A-ABD355422904}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.24\OverwolfBrowser.exe => Нет файла
    FirewallRules: [{9A86255D-E303-485F-8482-06EFDB20BC83}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.24\OverwolfBrowser.exe => Нет файла
    FirewallRules: [{66025C10-21EC-4374-B964-81C03F92B768}] => (Block) C:\Program Files (x86)\Overwolf\0.223.0.24\OverwolfBrowser.exe => Нет файла
    FirewallRules: [{210F8856-49B8-434E-89D4-87298FD8EE64}] => (Block) C:\Program Files (x86)\Overwolf\0.223.0.24\OverwolfBrowser.exe => Нет файла
    FirewallRules: [{2B727B31-C9B2-4B24-96A9-230F3C5D6F6E}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.27\OverwolfBrowser.exe => Нет файла
    FirewallRules: [{4FAD674B-C8FB-416D-9A41-842DD356D193}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.27\OverwolfBrowser.exe => Нет файла
    FirewallRules: [TCP Query User{BB66ED12-C796-4262-9FB3-F74E31872713}C:\gamecenter\battle teams 2\client\hallclient.exe] => (Allow) C:\gamecenter\battle teams 2\client\hallclient.exe => Нет файла
    FirewallRules: [UDP Query User{189A89E4-E21B-4E57-A913-FF49F596F228}C:\gamecenter\battle teams 2\client\hallclient.exe] => (Allow) C:\gamecenter\battle teams 2\client\hallclient.exe => Нет файла
    FirewallRules: [{D57074BB-913B-441C-9831-0AAF9FDC123E}] => (Allow) C:\Program Files (x86)\Microsoft\EdgeWebView\Application\114.0.1823.37\msedgewebview2.exe => Нет файла
    HKU\S-1-5-21-180071362-3636175432-2903123058-1001\...\Run: [Overwolf] => C:\Program Files (x86)\Overwolf\OverwolfLauncher.exe -overwolfsilent (Нет файла)
    HKU\S-1-5-21-180071362-3636175432-2903123058-1001\...\Run: [MicrosoftEdgeAutoLaunch_B47356396DDD0FAAE76D0ED141F5CEA2] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 (Нет файла)
    HKU\S-1-5-21-180071362-3636175432-2903123058-1001\...\Run: [ShellExperienceHost] => "C:\Gravity\RagnarokBegins(WEST)\ShellExperienceHost.exe" (Нет файла)
    HKU\S-1-5-21-180071362-3636175432-2903123058-1001\...\Run: [Torchlight Infinite] => C:\Torchlight Infinite\Engine\Binaries\Win64\TorchLightLauncher.exe -hide-main-window (Нет файла)
    Task: {686D8C8E-DB7F-49BC-8C43-1E55159CF963} - System32\Tasks\iTop Christmas Task (One-Time) => "C:\Games\iTop VPN\Pub\itopxmas.exe"  /vpn (Нет файла)
    
    
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • shirosempay
      От shirosempay
      Пару дней назад у меня украли аккаунт в Steam,не думал что у меня вирус на компе. Сегодня же при включении пк увидел консоль,и через пару часов в Discord Всем моим чатам отправилась какая-то реклама.
      Увидел на вашем форуме программу Avbr,при ее запуске и начале скана,комп нагружается,лагает,пытается выключить прогу,а после пишет что то насчет кэша microsoft edge и перезагружается,не знаю что и делать,помогите пожалуйста(
    • CzarOfScripts
      От CzarOfScripts
      Уже давно сталкивался с этим майнером, но так и не решил данную проблему до конца и просто переустановил виндовс в будущем. Как можно от него избавиться, есть ли какой-то универсальный софт?  Farbar Recovery Scan Tool сразу же закрывается после запуска, переименовывать пробовал.
    • distress
      От distress
      Добрый день, получилось так что словил серьезный майнер с автозапуском порно-сайта через редирект.
      Все что похожее есть по другим темам прочитал, понял что все очень индивидуально, у каждого свои логи и вариант решения. Переустановить систему нет возможности, стоят важные программы, файлы.
      Скачал AV block remover и сделал collectionlog, файлы прикрепляю.
      Помогите пожалуйста.CollectionLog-2024.05.15-22.04.zipAV_block_remove_2024.05.15-18.34.log
    • ArtMuz
      От ArtMuz
      Здравствуйте, 
      После установки разных программ установился данный вирус. Пытался несколько раз вылечить, но после перезагрузки троян восстанавливается. Расположение: C:\ProgramData\VideoExpert-c0f6fd3a-9c9e-4948-9dca-21495ea22c37\ Логи прикреплены
      CollectionLog-2024.05.13-22.50.zip
    • stnslv0
×
×
  • Создать...