Перейти к содержанию
Правила раздела
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Поймал майнер tool.btcmine.2711

burator

Автор burator,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

burator

burator 0

Опубликовано
Опубликовано

Всех приветствую, в последнее время компьютер стал плохо работать, решил скачать утилиту для проверки пк, при попытке в браузере сделать это он стал закрываться, начал искать информацию по этому поводу с телефона, понял, что подцепил какой-то вирус, с другого пк через флешку закинул себе dr.web cureit, он нашел много разного в том числе tool.btcmine.2711 и вроде бы еще tool.btcmine.2714. По аналогии с другими темами скачал Av block remover и запустил, удалил много чего там в том числе и некоего Джона. Подскажите пожалуйста не остались ли какие-нибудь хвосты.

AV_block_remove_2023.06.08-15.12.log CollectionLog-2023.06.08-15.51.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Здравствуйте!

 

В целом AVbr хорошо справился. Почистим некоторые хвосты и мусор.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O4 - HKCU\..\Run: [NVIDIA Share] = C:\customnpcs\assets\customnpcs\textures\cache\NVIDIA Share.exe (file missing)
O4 - HKCU\..\Run: [PlanetVPN] = C:\PlanetVPN\PlanetVPN.exe (file missing)
O4 - HKCU\..\Run: [System] = C:\.AmadeusRPG\amadeus\stats\System.exe (file missing)
O4 - HKCU\..\StartupApproved\Run: [csrss] = C:\Program Files (x86)\Everything\csrss.exe (file missing) (2023/06/07)
O4 - HKCU\..\StartupApproved\Run: [ctfmon] = C:\Program Files (x86)\WindowsPowerShell\Modules\PackageManagement\1.0.0.1\ru\ctfmon.exe (file missing) (2023/05/11)
O4 - HKCU\..\StartupApproved\Run: [explorer] = C:\Log\ava\ds\explorer.exe (file missing) (2023/05/11)
O4 - HKCU\..\StartupApproved\Run: [SearchApp] = C:\Windows\Downloaded Program Files\SearchApp.exe (file missing) (2023/05/11)
O4 - HKCU\..\StartupApproved\Run: [sihost] = C:\Program Files\Java\jre1.8.0_333\lib\jfr\sihost.exe (file missing) (2023/05/11)
O4 - HKCU\..\StartupApproved\Run: [VKGames] = "C:\Users\PC\AppData\Local\Play Machine\VKApp.exe" -autostart (file missing) (2022/10/21)
O4 - HKLM\..\Run: [NVIDIA Share] = C:\customnpcs\assets\customnpcs\textures\cache\NVIDIA Share.exe (file missing)
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing)
O4 - HKLM\..\Run: [System] = C:\.AmadeusRPG\amadeus\stats\System.exe (file missing)
O4 - HKLM\..\StartupApproved\Run: [csrss] = C:\Program Files (x86)\Everything\csrss.exe (file missing) (2023/05/11)
O4 - HKLM\..\StartupApproved\Run: [ctfmon] = C:\Program Files (x86)\WindowsPowerShell\Modules\PackageManagement\1.0.0.1\ru\ctfmon.exe (file missing) (2023/05/11)
O4 - HKLM\..\StartupApproved\Run: [explorer] = C:\Log\ava\ds\explorer.exe (file missing) (2023/06/07)
O4 - HKLM\..\StartupApproved\Run: [SearchApp] = C:\Windows\Downloaded Program Files\SearchApp.exe (file missing) (2023/05/11)
O4 - HKLM\..\StartupApproved\Run: [ShellExperienceHost] = C:\Gravity\RagnarokBegins(WEST)\ShellExperienceHost.exe (file missing) (2023/05/11)
O4 - HKLM\..\StartupApproved\Run: [sihost] = C:\Program Files\Java\jre1.8.0_333\lib\jfr\sihost.exe (file missing) (2023/06/07)
O4 - HKLM\..\StartupApproved\Run32: [Everything] = C:\Program Files (x86)\Everything\Everything.exe -startup (2022/10/04)
O4 - MountPoints2: HKCU\..\{001ff9af-f935-11ed-81ca-38d5477a3969}\shell\AutoRun\command: (default) = D:\setup.exe (file missing)
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKCU\..\Windows\Explorer: [ShowRunAsDifferentUserInStart] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты
burator

burator 0

Опубликовано
  • Автор
Опубликовано

Готово

Отсутствовали 2 эти строчки 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

 

 

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 618

Опубликовано
Опубликовано

https://safezone.cc/threads/42659/ проверьте, чтобы эта защита была включена.

 

и почистим немного мусор

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-180071362-3636175432-2903123058-1001_Classes\CLSID\{d936918b-9c4b-555e-074a-c79314be04e1}\localserver32 -> "C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-180071362-3636175432-2903123058-1001_Classes\CLSID\{f9517764-05a4-a748-620a-95087d06a241}\localserver32 -> "C:\Program Files\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe" -ToastActivated => Нет файла
BHO: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\114.0.1823.37\BHO\ie_to_edge_bho_64.dll => Нет файла
BHO-x32: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\114.0.1823.37\BHO\ie_to_edge_bho.dll => Нет файла
FirewallRules: [TCP Query User{E3338E21-CD5A-47BF-8A7C-2E4202EFCC81}C:\.rpgworld\java\64\bin\javaw.exe] => (Allow) C:\.rpgworld\java\64\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{234F903A-B899-4F89-A254-A35FC6A4B95D}C:\.rpgworld\java\64\bin\javaw.exe] => (Allow) C:\.rpgworld\java\64\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{182CB06E-D5C2-4FC9-9911-582FA46D9338}C:\.rpgworld\java\64\bin\java.exe] => (Allow) C:\.rpgworld\java\64\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{C03B348D-130C-430D-962E-01117CC76CC1}C:\.rpgworld\java\64\bin\java.exe] => (Allow) C:\.rpgworld\java\64\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{E764E9A0-3683-4193-92E8-961A18B61FF8}C:\cifrazia\games\libraries\java\8\bin\java.exe] => (Allow) C:\cifrazia\games\libraries\java\8\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{A8613C88-54C9-44B5-B192-28B0338E2034}C:\cifrazia\games\libraries\java\8\bin\java.exe] => (Allow) C:\cifrazia\games\libraries\java\8\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{4F695119-FCA9-434D-A54A-A1BA4E09A822}C:\users\pc\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\pc\appdata\roaming\utorrent web\utweb.exe => Нет файла
FirewallRules: [UDP Query User{FE72E3C2-5ADE-4B4D-8AD8-A22A619954DC}C:\users\pc\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\pc\appdata\roaming\utorrent web\utweb.exe => Нет файла
FirewallRules: [TCP Query User{D07AAA0D-ED5B-43A4-894A-80BD6E3414A2}C:\.daggerrpg\java\64\bin\javaw.exe] => (Allow) C:\.daggerrpg\java\64\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{E6600CEA-6C0C-4D12-91D2-0BFAF82F7420}C:\.daggerrpg\java\64\bin\javaw.exe] => (Allow) C:\.daggerrpg\java\64\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{0D753B31-2A42-41F3-8CF2-435ADD4CC450}C:\.daggerrpg\java\64\bin\java.exe] => (Allow) C:\.daggerrpg\java\64\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{8D97F4ED-7C0E-43AE-9CC1-67B3F325F248}C:\.daggerrpg\java\64\bin\java.exe] => (Allow) C:\.daggerrpg\java\64\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{E764465A-16D0-48DE-816A-8587660A5A91}C:\users\pc\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\pc\appdata\roaming\utorrent web\utweb.exe => Нет файла
FirewallRules: [UDP Query User{4F2E5501-2180-4BC2-8AF9-A887E534E1A4}C:\users\pc\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\pc\appdata\roaming\utorrent web\utweb.exe => Нет файла
FirewallRules: [{7E61AB07-09B3-4862-BE5A-ABD355422904}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.24\OverwolfBrowser.exe => Нет файла
FirewallRules: [{9A86255D-E303-485F-8482-06EFDB20BC83}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.24\OverwolfBrowser.exe => Нет файла
FirewallRules: [{66025C10-21EC-4374-B964-81C03F92B768}] => (Block) C:\Program Files (x86)\Overwolf\0.223.0.24\OverwolfBrowser.exe => Нет файла
FirewallRules: [{210F8856-49B8-434E-89D4-87298FD8EE64}] => (Block) C:\Program Files (x86)\Overwolf\0.223.0.24\OverwolfBrowser.exe => Нет файла
FirewallRules: [{2B727B31-C9B2-4B24-96A9-230F3C5D6F6E}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.27\OverwolfBrowser.exe => Нет файла
FirewallRules: [{4FAD674B-C8FB-416D-9A41-842DD356D193}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.27\OverwolfBrowser.exe => Нет файла
FirewallRules: [TCP Query User{BB66ED12-C796-4262-9FB3-F74E31872713}C:\gamecenter\battle teams 2\client\hallclient.exe] => (Allow) C:\gamecenter\battle teams 2\client\hallclient.exe => Нет файла
FirewallRules: [UDP Query User{189A89E4-E21B-4E57-A913-FF49F596F228}C:\gamecenter\battle teams 2\client\hallclient.exe] => (Allow) C:\gamecenter\battle teams 2\client\hallclient.exe => Нет файла
FirewallRules: [{D57074BB-913B-441C-9831-0AAF9FDC123E}] => (Allow) C:\Program Files (x86)\Microsoft\EdgeWebView\Application\114.0.1823.37\msedgewebview2.exe => Нет файла
HKU\S-1-5-21-180071362-3636175432-2903123058-1001\...\Run: [Overwolf] => C:\Program Files (x86)\Overwolf\OverwolfLauncher.exe -overwolfsilent (Нет файла)
HKU\S-1-5-21-180071362-3636175432-2903123058-1001\...\Run: [MicrosoftEdgeAutoLaunch_B47356396DDD0FAAE76D0ED141F5CEA2] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 (Нет файла)
HKU\S-1-5-21-180071362-3636175432-2903123058-1001\...\Run: [ShellExperienceHost] => "C:\Gravity\RagnarokBegins(WEST)\ShellExperienceHost.exe" (Нет файла)
HKU\S-1-5-21-180071362-3636175432-2903123058-1001\...\Run: [Torchlight Infinite] => C:\Torchlight Infinite\Engine\Binaries\Win64\TorchLightLauncher.exe -hide-main-window (Нет файла)
Task: {686D8C8E-DB7F-49BC-8C43-1E55159CF963} - System32\Tasks\iTop Christmas Task (One-Time) => "C:\Games\iTop VPN\Pub\itopxmas.exe"  /vpn (Нет файла)


EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Akmv
      Не удаляется NET:MALWARE.URL
      От Akmv
      Добрый вечер. Прошу помощи!

      Изучил "другие темы", та же проблема - не удаляется NET:MALWARE.URL - https://imgur.com/a/aDrVvgh
      Виндос переустановлен сегодня утром (24 июля в 12-00 мск~), но уже откуда-то майнер и эта дрянь...

      Коннектер лог прикрепил.

      По рекомендациям хелперов скачал Farbar Recovery Scan Tool, поставил галочки и на 90 дней сделались два файла, прикрепляю их в архиве.
       
      Что делать дальше -- не понимаю, прошу помощи. Хочется, чтобы компик жил.
      FRST.zip
      CollectionLog-2024.07.24-23.05.zip
    • clenup
      Проверка на вирусы
      От clenup
      Добрый вечер. Хочу проверить Комп на вирусы.
      Kaspersky Virus Removal Tool; Dr.Web CureIt! не чего не нашли.
      CollectionLog-2024.07.17-17.38.zip
    • Averfak
      Помогите пожалуйста!
      От Averfak
      подхватил расширения называются mvpn и adblocker при удалении и перезагрузке они восстанавливаются, помогите а то в этом плане вообще ничего не знаю!😢
    • Skittle
      Вирус грузит ЦП, блочит пуск и поиск
      От Skittle
      Добрый день, помогите пожалуйста с проблемой.
        Новое железо + свежая винда, но был перенесен один из старых SSD с рабочими файлами, форматировать под чистую никак :( И вместе видимо какая-то зараза перенеслась
      При открытом диспетчере все отлично, если закрыть диспетчер и через какое-то время открыть снова то видно как нагрузка ЦП падает с ~50 до 2%. Так же раз через раз после перезагрузки в винде блочится пуск. На другом компе куда старые диски и файлы не переносились та же самая винда чувствует себя прекрасно
        
      CollectionLog-2024.07.16-17.42.zip
    • BSss
      Проблема (?) вирус
      От BSss
      В простое видеокарта загружается до 100, включаются вентиляторы, запускаешь диспетчер задач  - успокаивается.. как бы от этого избавиться? 
×
×
  • Создать...