Помогите удалить майнер

[LoGosh]

Добрый день, помогите пожалуйста в удалении вируса майнера, ничего не помогает, как только не пытался, ни один антивирус не берет, если удалить папку с файлом который запускает майнер, то после перезагрузки она снова появляется и запускает процесс создающий нагрузку на видеокарту. Скриншот процесса прикрепляю. После чего произошло сие событие не знаю. Логи так же прикрепляю.

CollectionLog-2023.11.09-21.22.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[LoGosh]

21 час назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

First.rar

[LoGosh]

Добрый вечер, в архиве файлы скинул постом выше, правда архив назвал не правильно, а что дальше делать? Я понимаю что вы возможно заняты, поэтому и не тревожил, но уже несколько дней прошло... 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1731894221-2808089004-3460610042-1004\...\Run: [YandexBrowserAutoLaunch_B14BB3AC8B33613B57658B2879B6B3D1] => "C:\Users\CorPC\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
Task: {B5FA90FA-43FD-4153-BAC1-DE8027A4BED7} - System32\Tasks\presenting-promotions => C:\ProgramData\prompt-priest\bin.exe  /H (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
C:\Users\CorPC\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
File: C:\Windows\SysWOW64\mobsync.dll
File: C:\Users\CorPC\AppData\Local\Programs\93b51219b2\7bca44c061.msi
Folder: C:\ProgramData\PictureSymphony-91bcb9ce-52f1-4e90-98b7-41a4d78ba1c6
R2 MobSyncBrokerSvc_2ea807; C:\Windows\SysWOW64\mobsync.dll [188944 2023-10-25] (Microsoft Corporation) [Файл не подписан]
2023-10-25 09:26 - 2023-10-25 09:26 - 000188944 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mobsync.dll
2023-11-09 19:49 - 2023-11-09 20:30 - 000000000 __SHD C:\ProgramData\PictureSymphony-91bcb9ce-52f1-4e90-98b7-41a4d78ba1c6
2023-10-25 09:26 - 2023-10-25 09:26 - 001102978 _____ C:\Windows\SysWOW64\font022.dat
2023-10-16 21:23 - 2023-10-16 21:23 - 000003418 _____ C:\Windows\system32\Tasks\presenting-promotions
2023-10-16 21:23 - 2023-10-16 21:23 - 000000000 ____D C:\Windows\system32\Tasks\WProxy
2023-10-16 21:23 - 2023-10-16 21:23 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\proceeding-promotional
2023-10-16 21:23 - 2023-10-16 21:23 - 000000000 ____D C:\Program Files\WProxy
C:\Windows\SysWOW64\version_IObitDel.dll
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3442]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7876]
HKU\S-1-5-21-1731894221-2808089004-3460610042-1004\...\StartupApproved\Run: => "toc"
FirewallRules: [{BFB87D5C-A6CD-4A40-AFF8-5747835BDACA}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{200399A4-D085-4A9E-8C73-B10B57DCE87E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{D43A3533-3BD6-4D9F-9324-F6FBA146CA5C}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{808E16BD-F35F-407F-9F79-9B86DDAC9AB5}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{DB2D1909-09B4-431C-93D1-80E5E0D87AD6}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{66EA99B1-5173-4A86-B806-56A0D9CA9033}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [TCP Query User{1E2BBD6F-196B-4357-9C94-243F1A4445AB}D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{AD003CD5-A623-4B8D-888B-15EC116B1D2C}D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [TCP Query User{F2446AF2-9AAA-4C49-9192-198DE073E731}D:\games\call of duty modern warfare\modernwarfare.exe] => (Allow) D:\games\call of duty modern warfare\modernwarfare.exe => Нет файла
FirewallRules: [UDP Query User{C1E3FE57-DA49-45F0-8C10-F351B5C00E8E}D:\games\call of duty modern warfare\modernwarfare.exe] => (Allow) D:\games\call of duty modern warfare\modernwarfare.exe => Нет файла
FirewallRules: [TCP Query User{184123AE-0352-48CE-A0D3-44EA0B1C9692}D:\games\resident evil village\re8.exe] => (Allow) D:\games\resident evil village\re8.exe => Нет файла
FirewallRules: [UDP Query User{3FE193CD-B4B8-4AB8-87B0-86B087F9E52B}D:\games\resident evil village\re8.exe] => (Allow) D:\games\resident evil village\re8.exe => Нет файла
FirewallRules: [{AFE93B40-0015-465C-8E73-BC31268E174A}] => (Allow) C:\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{AAF63496-4D8C-4134-90FB-79EBD0A0480E}] => (Allow) C:\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{42F743B9-5838-4F1E-B36B-25980CB70CEF}] => (Allow) C:\Users\CorPC\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{6D331901-9658-4727-8879-074DE801709C}] => (Allow) C:\Users\CorPC\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{9B6BEED3-BA4A-45E1-89A4-FEF9295334BA}D:\resident.evil.4.(2023)-insaneramzes\re4.exe] => (Allow) D:\resident.evil.4.(2023)-insaneramzes\re4.exe => Нет файла
FirewallRules: [UDP Query User{AB87335F-FBA7-471C-9F76-27A42E31B364}D:\resident.evil.4.(2023)-insaneramzes\re4.exe] => (Allow) D:\resident.evil.4.(2023)-insaneramzes\re4.exe => Нет файла
FirewallRules: [TCP Query User{7DE36A98-4323-4F06-BBC1-9A95260B2A3D}D:\games\tanki\win64\worldoftanks.exe] => (Allow) D:\games\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{14C68D8D-E994-4F09-824F-AF7947756E35}D:\games\tanki\win64\worldoftanks.exe] => (Allow) D:\games\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [{0E650DD8-3BA9-46EC-BE71-3721D8711A0E}] => (Allow) C:\Users\CorPC\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{0A9FFF0E-F8A6-4516-BD5F-B3C9BC2D74E1}] => (Allow) C:\Users\CorPC\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{CE32C53C-608C-4159-874F-34B0CDF8BBCE}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{4960ABE2-7D16-4F7A-BE44-B4FBF590EC0F}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{BEC756CD-1F1D-4E01-AF6D-A488FB84779F}] => (Allow) 㩃啜敳獲䍜牯䍐䅜灰慄慴剜慯業杮瑜捯奜浘稷攮數 => Нет файла
FirewallRules: [{0244FC46-5245-4BB5-A4CE-A601C2370DE6}] => (Allow) 㩃啜敳獲䍜牯䍐䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{654CC432-C31E-4DA0-ACD2-78B950406256}] => (Allow) 㩃啜敳獲䍜牯䍐䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{FBCAE50F-FE35-4FEB-B8DD-2790E0B86829}] => (Allow) 㩃啜敳獲䍜牯䍐䅜灰慄慴剜慯業杮瑜捯㉜煄⹖硥e => Нет файла
FirewallRules: [{195D177B-866D-4659-AA51-F1EDD2166BCC}] => (Block) C:\Program Files (x86)\PassFab Android Unlocker\PassFabAndroidUnlocker.exe => Нет файла
FirewallRules: [{7F50FE73-371E-487D-A5B9-10BC10B77F01}] => (Block) %ProgramFiles% (x86)\PassFab Android Unlocker\Start.exe => Нет файла
PaleTurquoise loan 2.9.7.443 (HKLM-x32\...\{c74eee48-9b1d-489e-8487-e169f3e7cb36}) (Version: 2.9.7.443 - De Santis-Pellegrino SPA Group) Hidden
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

После скрипта

PaleTurquoise loan 2.9.7.443

presenting-promotions

Кнопка "Яндекс" на панели задач

удалите через Установку программ или принудительно с помощью Geek Uninstaller

[LoGosh]

Программы что были указаны удалил, вроде больше майнер не запускается фикс файл прикрепляю

Fixlog.txt

[thyrex]

Папку c:\FRST\Quarantine заархивируйте с паролем malware123, выложите на файлообменник и пришлите ссылку на скачивание мне в личные сообщения.

 

[LoGosh]

Заархивировал, скинул ссылку на скачивание в личные сообщения

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[LoGosh]

Прикрепляю файл после сканирования

SecurityCheck.txt

[thyrex]

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.22253 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
AnyDesk v.ad 8.0.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9008 Внимание! Скачать обновления
Viber v.19.2.0.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Driver Booster 10.1.0.86 v.10.1.0.86 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

по возможности исправьте указанное +

https://www.cyberforum.ru/viruses-faq/thread430326.html

[LoGosh]

Рекомендации выполнил, вроде как больше в процессах ничего подозрительного нет