Перейти к содержанию
Правила раздела

Поймал майнер tool.btcmine.2711

burator

Автор burator,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

burator

burator 0

Опубликовано
Опубликовано

Всех приветствую, в последнее время компьютер стал плохо работать, решил скачать утилиту для проверки пк, при попытке в браузере сделать это он стал закрываться, начал искать информацию по этому поводу с телефона, понял, что подцепил какой-то вирус, с другого пк через флешку закинул себе dr.web cureit, он нашел много разного в том числе tool.btcmine.2711 и вроде бы еще tool.btcmine.2714. По аналогии с другими темами скачал Av block remover и запустил, удалил много чего там в том числе и некоего Джона. Подскажите пожалуйста не остались ли какие-нибудь хвосты.

AV_block_remove_2023.06.08-15.12.log CollectionLog-2023.06.08-15.51.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Здравствуйте!

 

В целом AVbr хорошо справился. Почистим некоторые хвосты и мусор.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O4 - HKCU\..\Run: [NVIDIA Share] = C:\customnpcs\assets\customnpcs\textures\cache\NVIDIA Share.exe (file missing)
O4 - HKCU\..\Run: [PlanetVPN] = C:\PlanetVPN\PlanetVPN.exe (file missing)
O4 - HKCU\..\Run: [System] = C:\.AmadeusRPG\amadeus\stats\System.exe (file missing)
O4 - HKCU\..\StartupApproved\Run: [csrss] = C:\Program Files (x86)\Everything\csrss.exe (file missing) (2023/06/07)
O4 - HKCU\..\StartupApproved\Run: [ctfmon] = C:\Program Files (x86)\WindowsPowerShell\Modules\PackageManagement\1.0.0.1\ru\ctfmon.exe (file missing) (2023/05/11)
O4 - HKCU\..\StartupApproved\Run: [explorer] = C:\Log\ava\ds\explorer.exe (file missing) (2023/05/11)
O4 - HKCU\..\StartupApproved\Run: [SearchApp] = C:\Windows\Downloaded Program Files\SearchApp.exe (file missing) (2023/05/11)
O4 - HKCU\..\StartupApproved\Run: [sihost] = C:\Program Files\Java\jre1.8.0_333\lib\jfr\sihost.exe (file missing) (2023/05/11)
O4 - HKCU\..\StartupApproved\Run: [VKGames] = "C:\Users\PC\AppData\Local\Play Machine\VKApp.exe" -autostart (file missing) (2022/10/21)
O4 - HKLM\..\Run: [NVIDIA Share] = C:\customnpcs\assets\customnpcs\textures\cache\NVIDIA Share.exe (file missing)
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing)
O4 - HKLM\..\Run: [System] = C:\.AmadeusRPG\amadeus\stats\System.exe (file missing)
O4 - HKLM\..\StartupApproved\Run: [csrss] = C:\Program Files (x86)\Everything\csrss.exe (file missing) (2023/05/11)
O4 - HKLM\..\StartupApproved\Run: [ctfmon] = C:\Program Files (x86)\WindowsPowerShell\Modules\PackageManagement\1.0.0.1\ru\ctfmon.exe (file missing) (2023/05/11)
O4 - HKLM\..\StartupApproved\Run: [explorer] = C:\Log\ava\ds\explorer.exe (file missing) (2023/06/07)
O4 - HKLM\..\StartupApproved\Run: [SearchApp] = C:\Windows\Downloaded Program Files\SearchApp.exe (file missing) (2023/05/11)
O4 - HKLM\..\StartupApproved\Run: [ShellExperienceHost] = C:\Gravity\RagnarokBegins(WEST)\ShellExperienceHost.exe (file missing) (2023/05/11)
O4 - HKLM\..\StartupApproved\Run: [sihost] = C:\Program Files\Java\jre1.8.0_333\lib\jfr\sihost.exe (file missing) (2023/06/07)
O4 - HKLM\..\StartupApproved\Run32: [Everything] = C:\Program Files (x86)\Everything\Everything.exe -startup (2022/10/04)
O4 - MountPoints2: HKCU\..\{001ff9af-f935-11ed-81ca-38d5477a3969}\shell\AutoRun\command: (default) = D:\setup.exe (file missing)
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKCU\..\Windows\Explorer: [ShowRunAsDifferentUserInStart] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты
burator

burator 0

Опубликовано
  • Автор
Опубликовано

Готово

Отсутствовали 2 эти строчки 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

 

 

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

https://safezone.cc/threads/42659/ проверьте, чтобы эта защита была включена.

 

и почистим немного мусор

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-180071362-3636175432-2903123058-1001_Classes\CLSID\{d936918b-9c4b-555e-074a-c79314be04e1}\localserver32 -> "C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-180071362-3636175432-2903123058-1001_Classes\CLSID\{f9517764-05a4-a748-620a-95087d06a241}\localserver32 -> "C:\Program Files\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe" -ToastActivated => Нет файла
BHO: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\114.0.1823.37\BHO\ie_to_edge_bho_64.dll => Нет файла
BHO-x32: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\114.0.1823.37\BHO\ie_to_edge_bho.dll => Нет файла
FirewallRules: [TCP Query User{E3338E21-CD5A-47BF-8A7C-2E4202EFCC81}C:\.rpgworld\java\64\bin\javaw.exe] => (Allow) C:\.rpgworld\java\64\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{234F903A-B899-4F89-A254-A35FC6A4B95D}C:\.rpgworld\java\64\bin\javaw.exe] => (Allow) C:\.rpgworld\java\64\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{182CB06E-D5C2-4FC9-9911-582FA46D9338}C:\.rpgworld\java\64\bin\java.exe] => (Allow) C:\.rpgworld\java\64\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{C03B348D-130C-430D-962E-01117CC76CC1}C:\.rpgworld\java\64\bin\java.exe] => (Allow) C:\.rpgworld\java\64\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{E764E9A0-3683-4193-92E8-961A18B61FF8}C:\cifrazia\games\libraries\java\8\bin\java.exe] => (Allow) C:\cifrazia\games\libraries\java\8\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{A8613C88-54C9-44B5-B192-28B0338E2034}C:\cifrazia\games\libraries\java\8\bin\java.exe] => (Allow) C:\cifrazia\games\libraries\java\8\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{4F695119-FCA9-434D-A54A-A1BA4E09A822}C:\users\pc\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\pc\appdata\roaming\utorrent web\utweb.exe => Нет файла
FirewallRules: [UDP Query User{FE72E3C2-5ADE-4B4D-8AD8-A22A619954DC}C:\users\pc\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\pc\appdata\roaming\utorrent web\utweb.exe => Нет файла
FirewallRules: [TCP Query User{D07AAA0D-ED5B-43A4-894A-80BD6E3414A2}C:\.daggerrpg\java\64\bin\javaw.exe] => (Allow) C:\.daggerrpg\java\64\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{E6600CEA-6C0C-4D12-91D2-0BFAF82F7420}C:\.daggerrpg\java\64\bin\javaw.exe] => (Allow) C:\.daggerrpg\java\64\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{0D753B31-2A42-41F3-8CF2-435ADD4CC450}C:\.daggerrpg\java\64\bin\java.exe] => (Allow) C:\.daggerrpg\java\64\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{8D97F4ED-7C0E-43AE-9CC1-67B3F325F248}C:\.daggerrpg\java\64\bin\java.exe] => (Allow) C:\.daggerrpg\java\64\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{E764465A-16D0-48DE-816A-8587660A5A91}C:\users\pc\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\pc\appdata\roaming\utorrent web\utweb.exe => Нет файла
FirewallRules: [UDP Query User{4F2E5501-2180-4BC2-8AF9-A887E534E1A4}C:\users\pc\appdata\roaming\utorrent web\utweb.exe] => (Allow) C:\users\pc\appdata\roaming\utorrent web\utweb.exe => Нет файла
FirewallRules: [{7E61AB07-09B3-4862-BE5A-ABD355422904}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.24\OverwolfBrowser.exe => Нет файла
FirewallRules: [{9A86255D-E303-485F-8482-06EFDB20BC83}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.24\OverwolfBrowser.exe => Нет файла
FirewallRules: [{66025C10-21EC-4374-B964-81C03F92B768}] => (Block) C:\Program Files (x86)\Overwolf\0.223.0.24\OverwolfBrowser.exe => Нет файла
FirewallRules: [{210F8856-49B8-434E-89D4-87298FD8EE64}] => (Block) C:\Program Files (x86)\Overwolf\0.223.0.24\OverwolfBrowser.exe => Нет файла
FirewallRules: [{2B727B31-C9B2-4B24-96A9-230F3C5D6F6E}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.27\OverwolfBrowser.exe => Нет файла
FirewallRules: [{4FAD674B-C8FB-416D-9A41-842DD356D193}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.27\OverwolfBrowser.exe => Нет файла
FirewallRules: [TCP Query User{BB66ED12-C796-4262-9FB3-F74E31872713}C:\gamecenter\battle teams 2\client\hallclient.exe] => (Allow) C:\gamecenter\battle teams 2\client\hallclient.exe => Нет файла
FirewallRules: [UDP Query User{189A89E4-E21B-4E57-A913-FF49F596F228}C:\gamecenter\battle teams 2\client\hallclient.exe] => (Allow) C:\gamecenter\battle teams 2\client\hallclient.exe => Нет файла
FirewallRules: [{D57074BB-913B-441C-9831-0AAF9FDC123E}] => (Allow) C:\Program Files (x86)\Microsoft\EdgeWebView\Application\114.0.1823.37\msedgewebview2.exe => Нет файла
HKU\S-1-5-21-180071362-3636175432-2903123058-1001\...\Run: [Overwolf] => C:\Program Files (x86)\Overwolf\OverwolfLauncher.exe -overwolfsilent (Нет файла)
HKU\S-1-5-21-180071362-3636175432-2903123058-1001\...\Run: [MicrosoftEdgeAutoLaunch_B47356396DDD0FAAE76D0ED141F5CEA2] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 (Нет файла)
HKU\S-1-5-21-180071362-3636175432-2903123058-1001\...\Run: [ShellExperienceHost] => "C:\Gravity\RagnarokBegins(WEST)\ShellExperienceHost.exe" (Нет файла)
HKU\S-1-5-21-180071362-3636175432-2903123058-1001\...\Run: [Torchlight Infinite] => C:\Torchlight Infinite\Engine\Binaries\Win64\TorchLightLauncher.exe -hide-main-window (Нет файла)
Task: {686D8C8E-DB7F-49BC-8C43-1E55159CF963} - System32\Tasks\iTop Christmas Task (One-Time) => "C:\Games\iTop VPN\Pub\itopxmas.exe"  /vpn (Нет файла)


EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Дмитрий_Дмитрий
      Помогите удалить вирус
      От Дмитрий_Дмитрий
      Здравствуйте, помогите удалить вирус пожалуйста! Farbar Recovery Scan Tool - результат в файле
      S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [5327128 2024-04-17] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
      Downloads.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Sokolov_
      Дикие фризы при расширении окон и микрофризы при скролинге в браузере
      От Sokolov_
      Приветствую! С недавних пор начались беды: При перетаскивании окон, скролинге в браузере и работе приложениях начались микрофризы и зависания.
       
      Например, при перестакивании открытой папки GPU и CPU могут спокойно до 70% процентов нагрузится на 1-2 секунды, а дальше спад.
       
      Но на этом бедствия не закончились - если развернуть диспетчер задач в полный экран и навести курсор на поиск процессов, все процессы, в том числе и диспетчер задач начнут мигать на долю секунды. В приложениях развёртывание вкладок работает вообще ужасно. Будто фпс падает до 0 кадров, а дальше резко восстанавливается - эта же участь касается браузера. Видео предоставлю чуть попозже. Ещё заметил, что когда в папке много файлов, то очень сильно зависает при перетаскивании меню с названием файла, датой создания и тд. 
      Видео чуть попозже предоставлю. 
       
      К слову, sfc scannow и dism online restore не работают - кучу раз уже делал. Даже восстанавливал пк к исходному состоянию... 
       
      Вот тема на прошлый топик:
       
       
    • larmaswed
      самовосстанавливающийся вирус
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

    • Jigglypuff
      [РЕШЕНО] Вирус HEUR:Trojan.Multi.GenAdur.gen
      От Jigglypuff
      Здравствуйте, Kaspersky Standard выдал обнаружение вируса HEUR:Trojan.Multi.GenAdur.gen, можете посмотреть пожалуйста логи. Как-то 2 месяца назад была похожая ошибка с Trojian, и мне сказали, что это просто Касперский агрится на Ads Power (антидетект браузер AdsPower для мультиаккаутинга, СММ, арбитража). Сейчас такая же проблема, или есть какой-то вирус:

      Событие: Объект вылечен
      Пользователь: DESKTOP-LEI20ML\serge
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Вылечено
      Описание результата: Вылечено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.gena
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: SunBrowser.exe
      Путь к объекту: proc:\C:\Users\serge\AppData\Roaming\adspower_global\cwd_global\chrome_115

      И если написано: Результат: Вылечено, может ли он появится снова если его удалило, и вы ничего в логах не найдёте странного? 

      Заранее спасибо
      CollectionLog-2024.04.16-02.03.zip
    • Dmitriyln
      Не могу открыть сайты с антивирусным ПО
      От Dmitriyln
      Не могу открыть сайты с антивирусным ПО. Провел проверку Dr.Web CureIt!, некоторые вирусы ПО не удалило. Компьютер работает не так быстро, как это было раньше. 
      CollectionLog-2024.04.15-22.11.zip
×
×
  • Создать...