Поймал майнер, не получается удалить

[Soultaken]

Здравствуйте.
После  установки пакета Microsoft Office по своей же глупости со случайной ссылки, видеокарта стала сильно шуметь от чего пошли сомнения о нахождении Вирусов на ПК, опасения подтвердились множеством проверок соответствующими программами. 
До конца вычистить не выходит, вроде как антивирусы говорят что все чисто но и папки с задержкой открываются и куча папок с названиями антивирусов которые я никогда не устанавливал и удалить их не получается, отсюда прошу у вас помощи в избавлении от этого чуда.
Прикрепляю логи AVBR и AutoLogger 

CollectionLog-2024.08.11-21.29.zip AV_block_remove_2024.08.11-21.19.log

[thyrex]

33 минуты назад, Soultaken сказал:

AutoLogger

нужно их собирать из обычного режима загрузки, а не из безопасного.

[Soultaken]

Я прошу прощения, по незнанке сделал из безопасного режима.
Прикрепляю из обычного.

AV_block_remove_2024.08.11-22.51.log CollectionLog-2024.08.11-22.56.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Soultaken]

Готово

FRST.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
Task: {AA8779A5-69CA-47C0-A212-A38798F9F5CD} - System32\Tasks\Microsoft\Windows\FilesystemU\RecoveryHosts => C:\ProgramData\Microsoft\NetFramework\npGcIlcZT\FilesystemU.bat  (Нет файла) <==== ВНИМАНИЕ
2024-08-10 14:21 - 2024-08-10 14:21 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
AlternateDataStreams: C:\ProgramData:65520044A6EB75C9 [217]
AlternateDataStreams: C:\ProgramData:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\Users\All Users:65520044A6EB75C9 [217]
AlternateDataStreams: C:\Users\All Users:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\Users\Все пользователи:65520044A6EB75C9 [217]
AlternateDataStreams: C:\Users\Все пользователи:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\ProgramData\Application Data:65520044A6EB75C9 [217]
AlternateDataStreams: C:\ProgramData\Application Data:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjkiihj [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`vovtfe.qpsu.obnfjhjkiihj [0]
AlternateDataStreams: C:\Users\blowjob\AppData\Local\Temp:$DATA [16]
FirewallRules: [TCP Query User{9ED9A683-EF6D-4FE6-93F9-90FC4FFD2C18}C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe => Нет файла
FirewallRules: [UDP Query User{F610FB95-E622-4C78-B958-266D043C7B61}C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe => Нет файла
FirewallRules: [TCP Query User{A35ED4E9-C2E2-4A43-914F-C0CD0D03B275}D:\fallout 76\project76_gamepass.exe] => (Allow) D:\fallout 76\project76_gamepass.exe => Нет файла
FirewallRules: [UDP Query User{4D849BD5-59BC-43DF-AB50-DD6C40A9AD75}D:\fallout 76\project76_gamepass.exe] => (Allow) D:\fallout 76\project76_gamepass.exe => Нет файла
FirewallRules: [TCP Query User{7A62ED5B-EFC4-4CA2-B432-51E24CC8F478}C:\xboxgames\fallout 76\content\project76_gamepass.exe] => (Allow) C:\xboxgames\fallout 76\content\project76_gamepass.exe => Нет файла
FirewallRules: [UDP Query User{795B163B-D8A7-447A-9F82-A27DA416BB9B}C:\xboxgames\fallout 76\content\project76_gamepass.exe] => (Allow) C:\xboxgames\fallout 76\content\project76_gamepass.exe => Нет файла
FirewallRules: [TCP Query User{2B89BB23-5943-4A92-B459-5C9BAC4EE5C7}C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe => Нет файла
FirewallRules: [UDP Query User{3D4F90F3-3B24-47FE-A3C7-E704E4EE2432}C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe => Нет файла
FirewallRules: [TCP Query User{3B46D0A6-A4AE-4D75-8596-5FAE6D8EBF4F}C:\users\blowjob\appdata\local\discord\app-1.0.9149\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9149\discord.exe => Нет файла
FirewallRules: [UDP Query User{82569615-1D33-477F-A087-43FBDD31B872}C:\users\blowjob\appdata\local\discord\app-1.0.9149\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9149\discord.exe => Нет файла
FirewallRules: [TCP Query User{59BE616C-23F2-4727-8521-91206FEED996}C:\users\blowjob\appdata\local\discord\app-1.0.9153\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9153\discord.exe => Нет файла
FirewallRules: [UDP Query User{4C3B8D7B-F413-4D9F-96CF-251D0999E326}C:\users\blowjob\appdata\local\discord\app-1.0.9153\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9153\discord.exe => Нет файла
FirewallRules: [TCP Query User{59CC4238-A715-4BC8-A6FD-326E238833EC}C:\users\blowjob\appdata\local\discord\app-1.0.9154\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9154\discord.exe => Нет файла
FirewallRules: [UDP Query User{ED1B70D8-BF86-42D4-8529-8836EA3D1A03}C:\users\blowjob\appdata\local\discord\app-1.0.9154\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9154\discord.exe => Нет файла
FirewallRules: [TCP Query User{4CEF52A3-4BDC-45FC-BCFB-80B4219F9EAA}C:\users\blowjob\appdata\local\discord\app-1.0.9155\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9155\discord.exe => Нет файла
FirewallRules: [UDP Query User{3F095F5E-1AC9-4ED2-93A6-4934E54EE194}C:\users\blowjob\appdata\local\discord\app-1.0.9155\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9155\discord.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Soultaken]

Готово

Fixlog.txt

[thyrex]

Проблема решена?

[Soultaken]

Да, проблема решена. Но папки до сих пор открываются с небольшой задержкой, видимо это уже не исправить.
Спасибо!
Но папку с антивирусом которую создал вирус [Malwarebytes] не дает себя удалить ;(

Изменено 12 августа, 2024 пользователем Soultaken

[thyrex]

Вирусу незачем что-то устанавливать.

 

C:\Users\blowjob\Downloads\MalwarebytesAntiMalwarePrem2.2.1.1043Portable - папка с портабельной версией появилась в папке Загрузки 11 августа после 15 часов.

Возможно результатом запуска Вами или кем-то еще в попытке бороться с майнером стало обновление до Malwarebytes version 4.6.17.334.

 

Работающий антивирусный продукт и не дает удалить папку с ним вручную. Попробуйте удалить через Установку программ.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.