Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Поймал майнер BTC mainer 2711

dendok1

Автор dendok1
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

dendok1

dendok1

Опубликовано
Опубликовано

Вчера при включении пк, заметил серьезные фризы, проверил через cureit, он показал btc mainer 2711 в файле Microsoft Host, удалить его он не может, просматривал другие подобные темы, AVBR после проверки не создает файл логов, но я сохранил протокол, заранее спасибо

CollectionLog-2023.07.04-14.40.zip avz_log.txt

mike 1

mike 1

Опубликовано
Опубликовано

Здравствуйте, логи из безопасного режима не очень информативны. AVBR запускали переименованным и согласно инструкции

dendok1

dendok1

Опубликовано
  • Автор
Опубликовано

Да, он не запускается в обычном режиме, переименованным тоже, из другой папки тоже, он либо вообще не включается, либо включается и сразу закрывается

mike 1

mike 1

Опубликовано
Опубликовано
1 минуту назад, dendok1 сказал:

Да, он не запускается в обычном режиме, переименованным тоже, из другой папки тоже, он либо вообще не включается, либо включается и сразу закрывается

Запускайте AVBR в безопасном режиме с поддержкой сети согласно инструкции. 

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Хорошо, теперь соберите стандартные логи с помощью Автологгера по правилам, но в обычном режиме.

Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже. 
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано

Деинсталлируйте Driver Booster 10

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    CreateRestorePoint:
CloseProcesses:
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
Startup: C:\Users\dendok1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Twitch.lnk [2021-10-13]
ShortcutTarget: Twitch.lnk -> C:\Users\dendok1\AppData\Roaming\Twitch\Bin\Twitch.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-07-04 15:21 - 2023-07-04 15:21 - 000005606 __RSH C:\ProgramData\ntuser.pol
2023-07-03 12:47 - 2023-07-03 12:47 - 000000000 __SHD C:\ProgramData\princeton-produce
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [10]
AlternateDataStreams: C:\Users\dendok1\AppData\Local\Microsoft:ISBD1 [33]
AlternateDataStreams: C:\Users\dendok1\AppData\Local\Microsoft:ISBD2 [33]
AlternateDataStreams: C:\Users\dendok1\AppData\Roaming\Microsoft\Windows\Start Menu\Calculator.lnk:17944DBEE1 [10]
FirewallRules: [TCP Query User{EBA2DBCC-5236-4696-98C3-FF6D06E00C59}C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe] => (Allow) C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe
FirewallRules: [UDP Query User{97CEBE7B-F677-4492-89B0-BE708FD948A0}C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe] => (Allow) C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe
FirewallRules: [{463B2FC8-3E34-44CD-8253-99745B414E8E}] => (Block) C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe
FirewallRules: [{AC0F6904-5368-40E2-918C-46833F218C0A}] => (Block) C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe
Exportkey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

mike 1

mike 1

Опубликовано
Опубликовано

Удаляйте следующие исключения для Windows Defender. 

  

"C:\ProgramData"="0"
"C:\Windows\SysWow64\unsecapp.exe"="0"
"C:\ProgramData\ReaItekHD\taskhost.exe"="0"
"C:\ProgramData\ReaItekHD\taskhostw.exe"="0"
"C:\ProgramData\WindowsTask\MicrosoftHost.exe"="0"
"C:\ProgramData\WindowsTask\audiodg.exe"="0"
"C:\ProgramData\WindowsTask\AppModule.exe"="0"
"C:\ProgramData\WindowsTask\AMD.exe"="0"
"C:\Program Files\RDP Wrapper"="0"
"C:\ProgramData\Windows Tasks Service\winserv.exe"="0"

 

Что с проблемой?

dendok1

dendok1

Опубликовано
  • Автор
Опубликовано

Исключения убрал, проблема вроде решена, спасибо большое

 

mike 1

mike 1

Опубликовано
Опубликовано

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • detanatar
      Похоже поймал майнер - самостоятельное исследование не помогло
      Автор detanatar
      Добрый день
      обнаруживаю, что видеокарта регулярно громко молотит вентиляторами, температура поднимается до 65 градусов.
      перегружал комп все отключал, все равно температура доползает до 65 градусов и когда начинаю мониторить процессы  опускается до 40, а затем опять взлетает 55-65 гадусов.
      Думаю я поймал майнера
      Помогите с лечение компьютера
      CollectionLog-2026.06.20-20.47.zip
    • barabaka
      Trojan.Siggen31.34463
      Автор barabaka
      Загружена память на 40 процентов с включения компьютера.Стало подлагивать при серфе соцсетей,собственно drweb curelt показал троян в папке utorrent -lib.dll .
      Робин гуд,не проходи мимо!)
      CollectionLog-2026.06.02-13.26.zip
    • Golem555
      Компьютер начал сильно загружаться
      Автор Golem555
      Компьютер опять начал сильно загружаться, просматривал на что уходит мощность и афигел
      CollectionLog-2026.06.01-20.25.zip
    • Blin
      2 угрозы не лечатся Cureit и возникают снова (Trojan.BtcMine.3968,HOSTS:SUSPICIOUS.URL)
      Автор Blin
      Доброго времени суток!
      Недавно заметил, что пк стал работать довольно  медленно, но при открытии диспетчера задач, работоспособность вроде бы восстанавливается. Сразу пошёл проверять пк на вирусы и обнаружил данные проблемы. После перезагрузки компьютера угрозы возникают снова. Переустановка  операционной системы нежелательна, поэтому ищу иной способ лечения. Буду благодарен за помощь в решении данной проблемы.

      log.zip
    • lonfalt
      Майнер на компе
      Автор lonfalt
      всем привет, недавно я был взломан ребятами, скачал с гитхаба обход дискорда и ютуба. По моему решению было переустановить винду, так как в тг и дискорд они ломились , как бешенные. После переустановки винды через образ, я заметил, что в диспетчере у меня нагруз 90 процентов или 100, а потом резко или плавно уходит до 1-4%
      CollectionLog-2026.05.14-20.34.zip
×
×
  • Создать...