Неудаляющиеся 4 вируса после установки Microsoft office (Tool.BtcMine.2711)

[Deadochek]

Добрый день!

Столкнулся с проблемой неудаляющихся майнеров после установки пакета офиса. Что только не пробовал, др веб видит, лечит/удаляет, но потом всё появляется заново, в безопасном режиме, как однажды справился с вирусом Kernel32, не работает. Обнаружил самораспаковывающийся архив Packs.exe в папке ProgramData/setup вместе с bip39.txt. Пробовал удалять, даже без интернета появляются снова. Обычно после чистки др вебом выскакивает тот самый самораспаковывающийся архив, выдавая ошибку, что не все программы были установлены. Понял, что есть вирус, потому что сломался автозапуск многих программ, таких как "EarTrumpet", "ModernFlyouts" и, самое важное, "Rainmeter" с виджетами для мониторинга нагрузки системы, а также перестал работать оверлей Nvidia GeForce Experience. 

 

Буду очень благодарен за помощь! Уже руки опускаются, систему сносить ну вот прям совсем не хочется(

 

CollectionLog-2023.11.28-13.28.zip

[thyrex]

Ну так нужно смотреть, архив с активатором какого размера скачали

 

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

[Deadochek]

Да там не только активатор был, а вся прога целиком, поэтому не заметил. Плюс файл с вирусом был не просто скрытый, которые у меня отображаются всегда, а системный, потому не увидел. Ну в любом случае понимаю, что сам дурак, конечно

CollectionLog-2023.11.28-13.57.zip AV_block_remove_2023.11.28-13.47.log

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Deadochek]

FRST и Addition.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Discord] => C:\ProgramData\SquirrelMachineInstalls\Discord.exe --checkInstall (Нет файла)
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_pcseaepic_1_3] => [X]
HKU\S-1-5-21-803086762-644869252-1069847868-1001\...\Run: [ZET-wkb-app] => "C:\Program Files\ZET\Blade Software\app\wkbapp.exe" --startup (Нет файла)
HKU\S-1-5-21-803086762-644869252-1069847868-1001\...\Run: [Unified Remote V3] => "C:\Program Files (x86)\Unified Remote 3\RemoteServerWin.exe" (Нет файла)
HKU\S-1-5-21-803086762-644869252-1069847868-1001\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла)
HKU\S-1-5-21-803086762-644869252-1069847868-1001\...\Run: [YandexBrowserAutoLaunch_BEA728EB58B17FBA075BA9460DD12C1D] => "C:\Users\kurro\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-803086762-644869252-1069847868-1004\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\1234\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-803086762-644869252-1069847868-1004\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\1234\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" [0 2023-11-06] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-803086762-644869252-1069847868-1004\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\1234\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" [0 2023-11-06] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {724D4312-062C-4281-A154-0F2CDDA843CE} - System32\Tasks\Driver Booster SkipUAC (kurro) => "C:\Program Files (x86)\IObit\Driver Booster\9.2.0\DriverBooster.exe"  /skipuac (Нет файла)
Task: {1BF5F7CC-301C-4973-8C62-FB463B4B0C8E} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-803086762-644869252-1069847868-1004 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла)
Task: {231D4A6E-CB48-4C73-A3BB-24252BF7BF33} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-803086762-644869252-1069847868-1004 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла)
Task: {A9D5977F-1216-495E-81E3-0AB0AB42709B} - System32\Tasks\update-S-1-5-21-803086762-644869252-1069847868-1001 => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe  -runmode=checkupdate (Нет файла)
Task: {77FEBB4A-93B9-44E4-BDA6-4FE6EA454C71} - System32\Tasks\update-sys => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe  -runmode=checkupdate (Нет файла)
S2 AdvancedSystemCareService15; "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe" [X]
S2 wkb-service; "C:\Program Files\ZET\Blade Software\bin\wkbsvc.exe" --service [X]
S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X]
S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X]
S3 cpuz150; \??\C:\WINDOWS\temp\cpuz150\cpuz150_x64.sys [X]
S3 GVCIDrv; \??\C:\Program Files (x86)\GIGABYTE\RGBFusion\GVCIDrv64.sys [X]
S3 iobit_monitor_server2021; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win10_x64.sys [X]
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCExtMenu_64.dll -> Нет файла
ContextMenuHandlers2: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCExtMenu_64.dll -> Нет файла
ContextMenuHandlers3: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCExtMenu_64.dll -> Нет файла
ContextMenuHandlers4: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCExtMenu_64.dll -> Нет файла
AlternateDataStreams: C:\Users\kurro\AppData\Local\Temp:files_layoutmode [3632]
FirewallRules: [{02A9B079-7366-4899-97FD-950E6C574F90}] => (Block) C:\Users\kurro\AppData\Roaming\Kryptex\miners\kryptex7\IOMap64.sys => Нет файла
FirewallRules: [{57539E81-811E-4BEB-887C-BB49C1BBA1D1}] => (Block) C:\Users\kurro\AppData\Roaming\Kryptex\miners\kryptex5\WinRing0x64.sys => Нет файла
FirewallRules: [{FF9D6B53-C6F1-4384-A6F6-4DB80A386938}] => (Allow) E:\origin games\SPORE Galactic Adventures\SporebinEP1\SporeApp.exe => Нет файла
FirewallRules: [{545884B3-C83A-41CC-AA40-2713DD46C39D}] => (Allow) E:\origin games\SPORE Galactic Adventures\SporebinEP1\SporeApp.exe => Нет файла
FirewallRules: [{5252A3FB-34F6-4187-9D3D-7AE8121C8D12}] => (Allow) D:\SteamLibrary\steamapps\common\Magicka 2\engine\Magicka2.exe => Нет файла
FirewallRules: [{692330E3-E33F-43BC-9DB8-96CC391FEB46}] => (Allow) D:\SteamLibrary\steamapps\common\Magicka 2\engine\Magicka2.exe => Нет файла
FirewallRules: [{36F818A0-5B27-49D4-98BC-1E7036756807}] => (Allow) E:\DNLD\reiboot.exe => Нет файла
FirewallRules: [{B10DEF80-52EF-42F9-93BF-9738451F6150}] => (Allow) E:\DNLD\reiboot.exe => Нет файла
FirewallRules: [{E761DE48-0EF7-4537-BFFF-8B262A56F0B4}] => (Allow) E:\SteamLibrary\steamapps\common\Kerbal Space Program\KSP_x64.exe => Нет файла
FirewallRules: [{8DFD9151-DE42-4041-82C3-84CD092A1CAF}] => (Allow) E:\SteamLibrary\steamapps\common\Kerbal Space Program\KSP_x64.exe => Нет файла
FirewallRules: [{5A14CFB4-81EB-4FF9-AA81-B42DE425B09E}] => (Allow) D:\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [{6EAF0CB9-DFB2-403B-A7EB-6387AA3342C4}] => (Allow) D:\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [{213DAF15-0A59-44FC-876C-B18574CEC249}] => (Allow) E:\SteamLibrary\steamapps\common\Total War Attila\launcher\launcher.exe => Нет файла
FirewallRules: [{5B7B1D78-7EC0-455F-BA35-C0BEA1983784}] => (Allow) E:\SteamLibrary\steamapps\common\Total War Attila\launcher\launcher.exe => Нет файла
FirewallRules: [{73E28355-BF01-48F1-A3E3-617610355FD9}] => (Allow) D:\SteamLibrary\steamapps\common\Blender\blender.exe => Нет файла
FirewallRules: [{C7C112D6-BF23-4AA8-A161-82352CCE7E41}] => (Allow) D:\SteamLibrary\steamapps\common\Blender\blender.exe => Нет файла
FirewallRules: [{E469D883-DADE-44C6-AA0C-35781D3DEA53}] => (Allow) D:\Origin games\Battlefield 4\BFLauncher.exe => Нет файла
FirewallRules: [{5B5C2330-05B4-4029-BCA4-5F692A1D1AD5}] => (Allow) D:\Origin games\Battlefield 4\BFLauncher.exe => Нет файла
FirewallRules: [{9ECE0320-8413-4016-B867-12820EAE506B}] => (Allow) D:\Origin games\Battlefield 4\BFLauncher_x86.exe => Нет файла
FirewallRules: [{15C27DB8-56E2-46DE-AFCE-A0B3CD7694C9}] => (Allow) D:\Origin games\Battlefield 4\BFLauncher_x86.exe => Нет файла
FirewallRules: [{DDF820BE-9025-4258-8AE9-E2D45D0F209B}] => (Allow) D:\Origin games\Need for Speed Unbound\NeedForSpeedUnboundTrial.exe => Нет файла
FirewallRules: [{C8E873FF-1465-4B7E-B6A9-02B2471E58FC}] => (Allow) D:\Origin games\Need for Speed Unbound\NeedForSpeedUnboundTrial.exe => Нет файла
FirewallRules: [{0A385005-E1C7-44E3-B074-4ACF7516C446}] => (Allow) D:\Origin games\Need for Speed Unbound\NeedForSpeedUnbound.exe => Нет файла
FirewallRules: [{516674DD-250D-46A1-9F83-CB4364F7B401}] => (Allow) D:\Origin games\Need for Speed Unbound\NeedForSpeedUnbound.exe => Нет файла
FirewallRules: [{40B9E4CB-CB98-43A5-A7F7-D7FB0CEF4142}] => (Block) %ProgramFiles% (x86)\Origin\Origin.exe => Нет файла
FirewallRules: [{60090FA2-F871-49F6-9B40-8F5A3CBD6B26}] => (Block) D:\Origin games\Need for Speed Unbound\NeedForSpeedUnbound.exe => Нет файла
FirewallRules: [{0D1066D6-1837-4166-8740-F2594B723F88}] => (Block) D:\Origin games\Need for Speed Unbound\NeedForSpeedUnbound.exe => Нет файла
FirewallRules: [{EFE24BAA-EB54-4E75-AE98-230F6C63B146}] => (Block) %ProgramFiles% (x86)\Origin\Origin.exe => Нет файла
FirewallRules: [{72483A5B-3345-4DC2-8B77-B99FE717A224}] => (Allow) D:\EA Games\STAR WARS Battlefront II\starwarsbattlefrontii_trial.exe => Нет файла
FirewallRules: [{C4DBD8A0-6AD5-43DA-868F-C64AED9897F5}] => (Allow) D:\EA Games\STAR WARS Battlefront II\starwarsbattlefrontii_trial.exe => Нет файла
FirewallRules: [{40B65257-BC3C-4CD9-B20F-DE0D5E4B9FCC}] => (Allow) D:\EA Games\STAR WARS Battlefront II\starwarsbattlefrontii.exe => Нет файла
FirewallRules: [{40F5B737-084C-4B6E-A98B-7067AE0391E3}] => (Allow) D:\EA Games\STAR WARS Battlefront II\starwarsbattlefrontii.exe => Нет файла
FirewallRules: [{406D944E-A424-41EB-8491-ACCA441F76B1}] => (Allow) D:\SteamLibrary\steamapps\common\Deep Rock Galactic\Legacy\FSD.exe => Нет файла
FirewallRules: [{458F09F9-C9C3-4827-A52C-9ED66C941DAD}] => (Allow) D:\SteamLibrary\steamapps\common\Deep Rock Galactic\Legacy\FSD.exe => Нет файла
FirewallRules: [{441A1616-7D55-4DE8-8B80-44498E2F86F1}] => (Allow) D:\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [{85EABBAC-E150-4DFF-9A21-549E0477DBC7}] => (Allow) D:\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [{AEC6ED6F-403F-4C90-9292-34AB102073F3}] => (Allow) E:\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{1E9A7A51-62FE-4414-A764-0F5BB790A2BD}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{48A7B347-B9E6-4586-BA3B-81A5597B0FC3}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{F0711D37-D572-4C86-B630-D03EB08265EA}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{E75C1052-1EF5-4F57-BC61-F2343B35A93D}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{C655DF93-6B1E-4F90-BA24-62FD8266B246}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.107.3215.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{9474F76D-3C36-4EFB-B641-81D6B9FE406E}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.107.3215.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{CE622D63-7672-4F54-A68D-DF81E4F4B1B4}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.107.3215.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{D0CC6CFA-AE46-4BEE-AA91-456CE5A3A38E}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.107.3215.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

 

[Deadochek]

Dr.Web больше вирусы не находит, Rainmeter работает исправно, но приложения "Eartrumpet" и "Moderflyouts" все еще слетают из автозапуска, хотя когда запускаю вручную - работают. Также все еще не работает оверлей Nvidia.

Это какие-то остатки этой проблемы, или же стоит попробовать переустановить эти приложения?

 

Fixlog.txt

 

Попробовал переустановить Eartrumpet и Modernflyouts. Не помогло, в диспетчере задач автозагрузку включаю, при перезагрузке компьютера выключается.

А вот Geforce при переустановке заработал.

 

Проблема с Eartrumpet и Modernflyouts была связана с изменением реестра. Вирусом ли, в процессе чистки той или иной ли, но в любом случае удалось решить. 

Если кто-то наткнется на эту тему в поиске решения, то мне помогло создание файла редактора реестра (создать текстовый файл, затем изменить расширение на .reg) и запуск его со следующим содержанием:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"EnableFullTrustStartupTasks"=dword:00000002

"EnableUwpStartupTasks"=dword:00000002

"SupportFullTrustStartupTasks"=dword:00000001

"SupportUwpStartupTasks"=dword:00000001

 

@thyrex Спасибо огромное за помощь!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.