Помогите удалить майнер ToolBtcMine

[Кирилл1231365465]

Не могу удалить майнер ToolBtcMine. Использовал AVbr, удалял John, ничего не помогло, все равно грузит процессор на 100%. Удалось лишь открыть доступ к сайтам и установке антивирусов.

AV_block_remove_2023.08.31-01.10.log

[thyrex]

Порядок оформления запроса о помощи

Новую тему создавать не нужно, прикрепите логи к следующему сообщению в текущей теме

[Кирилл1231365465]

Прикрепляю логи

CollectionLog-2023.08.31-20.02.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 
 

Деинсталлируйте Outbyte AVArmor, если сами не устанавливали эту программу.

 

Пофиксите следующие строчки в HiJackThis (запускайте HiJackThis из папки Автологгера):

 

O4 - HKLM\..\StartupApproved\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing) (2023/08/31)
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4

 

Сделайте новые логи Автологгера

[Кирилл1231365465]

Прикрепил

CollectionLog-2023.08.31-21.13.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Кирилл1231365465]

Прикрепил

Addition.txt FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в буфер обмена:

3. Start::
   CreateRestorePoint:
   CloseProcesses:
   Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Toz.lnk [2023-04-13]
   ShortcutTarget: Toz.lnk -> C:\hon\Toz.exe (Нет файла)
   HKU\S-1-5-21-1979184357-3130891306-4243974017-1001\...\Run: [PlanetVPN] => C:\Program Files (x86)\PlanetVPN\PlanetVPN.exe (Нет файла)
   AV: 360 Total Security (Disabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
   EmptyTemp:
   End::

    

4. Запустите FRST и нажмите один раз на кнопку Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

5. Обратите внимание, что компьютер будет перезагружен.

Изменено 31 августа, 2023 пользователем mike 1

[Кирилл1231365465]

Текст скопировал. Прикрепил лог

Fixlog.txt

[mike 1]

Что с проблемой?

[Кирилл1231365465]

Процессор как грузился на 100% при закрытом диспетчере задач, так и грузится. Пока диспетчер открыт, майнер не работает. Попробовал выключить диспетчер и произвести вышеизложенную операцию с копированием текста и исправлением, эффекта не последовало. Лог последний прикрепил

Fixlog.txt

[mike 1]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteSchedulerTask('Microsoft\Windows\Application Experience\MareBackup');
ExecuteSysClean;
RebootWindows(false);
end.

 

Компьютер перезагрузится. Сделайте еще раз логи Автологгером. + Понаблюдайте за проблемой. 

[Кирилл1231365465]

Проблема со строкой скрипта 

[thyrex]

Нужно использовать AVZ из папки Autologger.

 

13 минут назад, Кирилл1231365465 сказал:

Процессор как грузился на 100% при закрытом диспетчере задач

А Вы каким образом эти проценты увидели при закрытом диспетчере?

[Кирилл1231365465]

При открытии диспетчера на секунду видно 100-процентную загрузку процессора. В следующем сообщении прикреплю лог