Поймал tool.BtcMine.2754

[Lexarr]

Недавно обнаружил лаги на компе , решил скачать антивирус , провериться , так у меня все сайты с антивирусами сразу закрывались , диспетчер задач тоже закрывался , если заходить в системные папки «проводник» тоже закрывался , загрузил с флешки CureIt , он нашел майнер , удалил его , после перезагрузки майнер вернулся обратно 

CollectionLog-2024.12.16-17.06.zip

Изменено 16 декабря, 2024 пользователем Lexarr
Подгрузил логи

[thyrex]

Здравствуйте.

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

[Lexarr]

AV_block_remove_2025.01.10-17.18.log CollectionLog-2025.01.10-17.31.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Lexarr]

Frstscan.rar

[thyrex]

Client Helper 6.1.6

удалите через Панель управления – Программы и компоненты

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-3824505538-3801647888-558862156-1001\...\MountPoints2: {3a14b397-a760-11ec-9717-f4b52026daa0} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3824505538-3801647888-558862156-1001\...\MountPoints2: {4985ba13-7bb0-11ec-970f-f4b52026daa0} - "E:\HiSuiteDownLoader.exe" 
Task: {25DA135E-EDF9-4E8E-8367-FBE10D1E2E83} - System32\Tasks\EdgeUpdate => C:\Windows\system32\cmd.exe [289792 2024-06-19] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
Task: {DA55D1D1-28DE-4BEF-808D-11E274D48274} - System32\Tasks\EdgeUpdateTaskUser => C:\Windows\System32\wscript.exe [196608 2024-07-11] (Microsoft Windows -> Microsoft Corporation) -> /b "C:\ProgramData\Microsoft\wext.vbs" <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\wext.vbs
Task: {27FEAC19-0417-4F21-B631-6A377E23956E} - System32\Tasks\RunGame => C:\Program Files\Client Helper\Client Helper.exe [146320896 2024-10-21] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
Task: {A68CA688-C32F-404D-84E3-53DFEBE7A96E} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
2024-12-08 12:53 - 2024-12-08 12:53 - 000000000 ____D C:\Users\123\AppData\Roaming\com.gtoppocket.launcher
2024-12-08 11:47 - 2024-12-08 12:59 - 000010607 _____ C:\Users\123\ex-list2.json
2024-12-08 11:47 - 2024-12-08 12:13 - 000000383 _____ C:\Users\123\bs-list.json
2024-12-08 11:47 - 2024-12-08 11:47 - 000000167 _____ C:\Users\123\e-user.json
FirewallRules: [TCP Query User{7F1FBCF1-0CF4-44C5-AC62-6C240A5117F7}D:\iptvplayer\ip-tv player\iptvplayer.exe] => (Allow) D:\iptvplayer\ip-tv player\iptvplayer.exe => Нет файла
FirewallRules: [UDP Query User{95E53896-8003-4CA3-B3B8-FDD1E8BB5D0C}D:\iptvplayer\ip-tv player\iptvplayer.exe] => (Allow) D:\iptvplayer\ip-tv player\iptvplayer.exe => Нет файла
FirewallRules: [TCP Query User{58D39F87-FEAB-46A2-8482-546F9919311D}C:\users\123\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\123\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{8B84FEB7-C1EC-4F87-961D-E8793691FA01}C:\users\123\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\123\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [{95057384-11DF-41CD-ADF9-32AE783F7CE0}] => (Allow) C:\Users\123\AppData\Local\Programs\Opera\76.0.4017.123\opera.exe => Нет файла
FirewallRules: [{A22DA5A7-ACD4-43D0-9BF0-247286AE4550}] => (Allow) C:\Users\123\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{3579BAF1-05BE-4325-B179-F806A83D903D}] => (Allow) C:\Users\123\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [TCP Query User{752033B4-7A7F-4DA6-9CF5-076E1C40071C}D:\microsoft vs code\code.exe] => (Allow) D:\microsoft vs code\code.exe => Нет файла
FirewallRules: [UDP Query User{05A59746-4449-405D-AFC0-01C9AAD88025}D:\microsoft vs code\code.exe] => (Allow) D:\microsoft vs code\code.exe => Нет файла
FirewallRules: [TCP Query User{7CAA18E6-6C97-467A-A575-1A1548DAE26A}C:\users\123\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\123\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [UDP Query User{287E71FE-063E-47AF-A580-1837D883FDD3}C:\users\123\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\123\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{E115641B-8C5D-4BCC-95DA-444CB0969BB7}] => (Allow) C:\Users\123\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{F39825D7-A028-4E28-B52B-DB9B993A369D}] => (Allow) C:\Users\123\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{A29CDF11-DF2A-46F7-9FA5-CEEF07DEC742}] => (Allow) D:\Новая папка\Steam.exe => Нет файла
FirewallRules: [{ACD74797-C093-4A28-A0B3-36B45F2AF280}] => (Allow) D:\Новая папка\Steam.exe => Нет файла
FirewallRules: [{F855F92F-015C-4298-801B-0008E47EDBFC}] => (Allow) D:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{463F44F4-D633-4C9A-B774-055E4DC5D30B}] => (Allow) D:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{3026C315-EE6E-49EB-B541-0A95D14D4ADD}] => (Allow) C:\Users\123\AppData\Local\Programs\Opera\90.0.4480.54\opera.exe => Нет файла
FirewallRules: [{44AAC656-6653-452C-89AA-A69EA92C3A16}] => (Allow) C:\Users\123\AppData\Local\Programs\Opera\90.0.4480.84\opera.exe => Нет файла
FirewallRules: [{CF339743-49F7-4704-AAA4-312E98A29768}] => (Allow) D:\Games\StarCraft II\Versions\Base38996\SC2_x64.exe => Нет файла
FirewallRules: [{736E3B17-E997-42C7-911F-3DD1806B8D90}] => (Allow) D:\Games\StarCraft II\Versions\Base38996\SC2_x64.exe => Нет файла
FirewallRules: [{266A33B5-99C7-4F5E-AA24-E9F72D497B4B}] => (Allow) D:\Steam\steamapps\common\Half-Life 2\hl2.exe => Нет файла
FirewallRules: [{FF785DB8-8FE9-4B0A-94D9-BA5763E33E04}] => (Allow) D:\Steam\steamapps\common\Half-Life 2\hl2.exe => Нет файла
FirewallRules: [TCP Query User{AA39C017-BDBF-49F7-90D9-BB5BEA0C0342}D:\games\starcraft ii\support\sc2editor.exe] => (Allow) D:\games\starcraft ii\support\sc2editor.exe => Нет файла
FirewallRules: [UDP Query User{329AD483-39F6-4AF1-AD40-033C69BCCF0D}D:\games\starcraft ii\support\sc2editor.exe] => (Allow) D:\games\starcraft ii\support\sc2editor.exe => Нет файла
FirewallRules: [TCP Query User{22289F3D-86EC-45CD-A438-C91D5F3EFDDB}C:\programdata\lesta\gamecenter\lgc.exe] => (Allow) C:\programdata\lesta\gamecenter\lgc.exe => Нет файла
FirewallRules: [UDP Query User{B16BA59D-58EE-491B-843C-287691C21781}C:\programdata\lesta\gamecenter\lgc.exe] => (Allow) C:\programdata\lesta\gamecenter\lgc.exe => Нет файла
FirewallRules: [TCP Query User{5F4FE4A8-3ED5-4362-9260-C07FDC2EADFD}D:\games\tanki\win64\worldoftanks.exe] => (Allow) D:\games\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{9A8A5892-37A4-422D-8D71-A586E56CCFBB}D:\games\tanki\win64\worldoftanks.exe] => (Allow) D:\games\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [TCP Query User{CF262FD8-434D-43F9-BB4D-F59A91937598}C:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe] => (Allow) C:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [UDP Query User{02DAA525-0BFE-4F39-A373-70A7DFBC7826}C:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe] => (Allow) C:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Lexarr]

Fixlog.txt

[thyrex]

Проблема решена?

[Lexarr]

Да, Спасибо

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.