Перейти к содержанию
Правила раздела

Поймал tool.BtcMine.2754

Lexarr

Автор Lexarr
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Lexarr

Lexarr

Опубликовано
Опубликовано (изменено)

Недавно обнаружил лаги на компе , решил скачать антивирус , провериться , так у меня все сайты с антивирусами сразу закрывались , диспетчер задач тоже закрывался , если заходить в системные папки «проводник» тоже закрывался , загрузил с флешки CureIt , он нашел майнер , удалил его , после перезагрузки майнер вернулся обратно 

IMG_3927.jpeg

CollectionLog-2024.12.16-17.06.zip

Изменено пользователем Lexarr
Подгрузил логи
thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

  • 4 недели спустя...
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

Client Helper 6.1.6

удалите через Панель управления – Программы и компоненты

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-3824505538-3801647888-558862156-1001\...\MountPoints2: {3a14b397-a760-11ec-9717-f4b52026daa0} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3824505538-3801647888-558862156-1001\...\MountPoints2: {4985ba13-7bb0-11ec-970f-f4b52026daa0} - "E:\HiSuiteDownLoader.exe" 
Task: {25DA135E-EDF9-4E8E-8367-FBE10D1E2E83} - System32\Tasks\EdgeUpdate => C:\Windows\system32\cmd.exe [289792 2024-06-19] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
Task: {DA55D1D1-28DE-4BEF-808D-11E274D48274} - System32\Tasks\EdgeUpdateTaskUser => C:\Windows\System32\wscript.exe [196608 2024-07-11] (Microsoft Windows -> Microsoft Corporation) -> /b "C:\ProgramData\Microsoft\wext.vbs" <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\wext.vbs
Task: {27FEAC19-0417-4F21-B631-6A377E23956E} - System32\Tasks\RunGame => C:\Program Files\Client Helper\Client Helper.exe [146320896 2024-10-21] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
Task: {A68CA688-C32F-404D-84E3-53DFEBE7A96E} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
2024-12-08 12:53 - 2024-12-08 12:53 - 000000000 ____D C:\Users\123\AppData\Roaming\com.gtoppocket.launcher
2024-12-08 11:47 - 2024-12-08 12:59 - 000010607 _____ C:\Users\123\ex-list2.json
2024-12-08 11:47 - 2024-12-08 12:13 - 000000383 _____ C:\Users\123\bs-list.json
2024-12-08 11:47 - 2024-12-08 11:47 - 000000167 _____ C:\Users\123\e-user.json
FirewallRules: [TCP Query User{7F1FBCF1-0CF4-44C5-AC62-6C240A5117F7}D:\iptvplayer\ip-tv player\iptvplayer.exe] => (Allow) D:\iptvplayer\ip-tv player\iptvplayer.exe => Нет файла
FirewallRules: [UDP Query User{95E53896-8003-4CA3-B3B8-FDD1E8BB5D0C}D:\iptvplayer\ip-tv player\iptvplayer.exe] => (Allow) D:\iptvplayer\ip-tv player\iptvplayer.exe => Нет файла
FirewallRules: [TCP Query User{58D39F87-FEAB-46A2-8482-546F9919311D}C:\users\123\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\123\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{8B84FEB7-C1EC-4F87-961D-E8793691FA01}C:\users\123\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\123\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [{95057384-11DF-41CD-ADF9-32AE783F7CE0}] => (Allow) C:\Users\123\AppData\Local\Programs\Opera\76.0.4017.123\opera.exe => Нет файла
FirewallRules: [{A22DA5A7-ACD4-43D0-9BF0-247286AE4550}] => (Allow) C:\Users\123\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{3579BAF1-05BE-4325-B179-F806A83D903D}] => (Allow) C:\Users\123\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [TCP Query User{752033B4-7A7F-4DA6-9CF5-076E1C40071C}D:\microsoft vs code\code.exe] => (Allow) D:\microsoft vs code\code.exe => Нет файла
FirewallRules: [UDP Query User{05A59746-4449-405D-AFC0-01C9AAD88025}D:\microsoft vs code\code.exe] => (Allow) D:\microsoft vs code\code.exe => Нет файла
FirewallRules: [TCP Query User{7CAA18E6-6C97-467A-A575-1A1548DAE26A}C:\users\123\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\123\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [UDP Query User{287E71FE-063E-47AF-A580-1837D883FDD3}C:\users\123\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\123\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{E115641B-8C5D-4BCC-95DA-444CB0969BB7}] => (Allow) C:\Users\123\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{F39825D7-A028-4E28-B52B-DB9B993A369D}] => (Allow) C:\Users\123\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{A29CDF11-DF2A-46F7-9FA5-CEEF07DEC742}] => (Allow) D:\Новая папка\Steam.exe => Нет файла
FirewallRules: [{ACD74797-C093-4A28-A0B3-36B45F2AF280}] => (Allow) D:\Новая папка\Steam.exe => Нет файла
FirewallRules: [{F855F92F-015C-4298-801B-0008E47EDBFC}] => (Allow) D:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{463F44F4-D633-4C9A-B774-055E4DC5D30B}] => (Allow) D:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{3026C315-EE6E-49EB-B541-0A95D14D4ADD}] => (Allow) C:\Users\123\AppData\Local\Programs\Opera\90.0.4480.54\opera.exe => Нет файла
FirewallRules: [{44AAC656-6653-452C-89AA-A69EA92C3A16}] => (Allow) C:\Users\123\AppData\Local\Programs\Opera\90.0.4480.84\opera.exe => Нет файла
FirewallRules: [{CF339743-49F7-4704-AAA4-312E98A29768}] => (Allow) D:\Games\StarCraft II\Versions\Base38996\SC2_x64.exe => Нет файла
FirewallRules: [{736E3B17-E997-42C7-911F-3DD1806B8D90}] => (Allow) D:\Games\StarCraft II\Versions\Base38996\SC2_x64.exe => Нет файла
FirewallRules: [{266A33B5-99C7-4F5E-AA24-E9F72D497B4B}] => (Allow) D:\Steam\steamapps\common\Half-Life 2\hl2.exe => Нет файла
FirewallRules: [{FF785DB8-8FE9-4B0A-94D9-BA5763E33E04}] => (Allow) D:\Steam\steamapps\common\Half-Life 2\hl2.exe => Нет файла
FirewallRules: [TCP Query User{AA39C017-BDBF-49F7-90D9-BB5BEA0C0342}D:\games\starcraft ii\support\sc2editor.exe] => (Allow) D:\games\starcraft ii\support\sc2editor.exe => Нет файла
FirewallRules: [UDP Query User{329AD483-39F6-4AF1-AD40-033C69BCCF0D}D:\games\starcraft ii\support\sc2editor.exe] => (Allow) D:\games\starcraft ii\support\sc2editor.exe => Нет файла
FirewallRules: [TCP Query User{22289F3D-86EC-45CD-A438-C91D5F3EFDDB}C:\programdata\lesta\gamecenter\lgc.exe] => (Allow) C:\programdata\lesta\gamecenter\lgc.exe => Нет файла
FirewallRules: [UDP Query User{B16BA59D-58EE-491B-843C-287691C21781}C:\programdata\lesta\gamecenter\lgc.exe] => (Allow) C:\programdata\lesta\gamecenter\lgc.exe => Нет файла
FirewallRules: [TCP Query User{5F4FE4A8-3ED5-4362-9260-C07FDC2EADFD}D:\games\tanki\win64\worldoftanks.exe] => (Allow) D:\games\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{9A8A5892-37A4-422D-8D71-A586E56CCFBB}D:\games\tanki\win64\worldoftanks.exe] => (Allow) D:\games\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [TCP Query User{CF262FD8-434D-43F9-BB4D-F59A91937598}C:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe] => (Allow) C:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [UDP Query User{02DAA525-0BFE-4F39-A373-70A7DFBC7826}C:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe] => (Allow) C:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • heathern
      Помогите удалить вирус!!
      Автор heathern
      К большому сожалению, я скачала какой-то zip файл на 2 с чем-то гб (это был мод) из вк по старой ссылке. Сначала, я ничего даже не заметила, но после того, как я его разархивировала и поместила в папку, в которой должен был быть сам мод, у меня открылась командная строка(Я проверила файл на вирус тотал и он показался трояном, а потом уже понеслось) "Хост Windows Shell Expenince" и в диспетчере задач она теперь там ПОСТОЯННО находится. При открытии диспетчера задач у меня диск загружен на 100% как и цп на 75%(может 71%, все равно много) и я вроде как удалила сам ярлык с игрой и этим модом, но теперь у меня так каждый раз (до того, пока я не удалила, диск не был нагружен на 100% и было всего 20-30 цп)  но нагружает не хост, а именно очень странные файлы как: System, Microsoft OneDrive и Power Toys.Run (я скачивала Power Toys до всего этого) меня очень смущает "System", ведь у него большое энергопотребление. Я сидела 2 часа (а то и так-то 3) смотрела какой-то тутор как его удалить, но все сходилось на том, что я не могла установить антивирус Касперский, нужна была перезагрузка, а я боялась, что у меня все слетит к чертям. Я старалась что-то искать, но ничего не нашла, я вообще не знаю что именно искать и как это убрать. Я пыталась найти что-то в resmon, делала mrt несколько раз, заходила в redget, но resmon люто лагал, а в поиске redget, я хотела найти сам троян, но он тоже тупил. Очень надеюсь, что мне хоть как-нибудь помогут тут ;(
      (Я уже заходила в безопасный режим и старалась вернуть права админа, чтобы удалить это, и после того как я хоть что-то удалила, стало только в разы хуже... Доктор веб не пробовала сканировать, у меня файл тупо не открывался, как и Касперский. На фотках ЦП мало, но после ещё очередной перезагрузки, он поднялся до 70%) И извиняюсь за мыльное качество


    • sh0keqlow
      [РЕШЕНО] Нагрузка процессора
      Автор sh0keqlow
      CollectionLog-2025.05.31-16.43.zip
      После скачивания некоторых пиратских ПО выросла нагрузка на ЦП, а именно от explorer.exe. Держится примерно на 18%, хотя проводник не включен.
    • faze21
      Майнер не удаляется после переустановки Windows
      Автор faze21
      Майнер не удаляется после переустановки Винды, антивирусы такие как Dr.Web и Malwarebytes не помогают. Вчера еще было все нормально, но сегодня начала греться очень сильно видеокарта + процессор, когда начал разворачиваться в игру. А на рабочем столе показатели снижаются в этой же игры: вчера ГП был на 30 процентов, в данный момент уже 95 процентов. Помогите, пожалуйста, потому что вчера еще украли данные с компьютера, но я уже восстановил их.
      показатели через Geforce Experience.

      Кто поможет отблагодарю в символическом денюжном плане.
    • Holo_Yolo
      [РЕШЕНО] Проблемы после майнера
      Автор Holo_Yolo
      Здравствуйте, проблема такая, после удаления майнера и процедуры лечения всё вернулось в норму, но перестала обновляться Windows 
      Так же были проблемы с запуском некоторых команд в командной строке, но их исправил путём удаления из реестра 
      Фото ошибки прилагаю 

    • 2107zak
      Майнер не дает войти в безопасный режим и установить антивирус.
      Автор 2107zak
      Дорого времени суток проблема: Вирус блокирует антивирусы. Вход в безопасный режим. Kaspersky Virus Removal Tool их видит но удалить не может.  Dr.Web CureIt не видит Windows.
      Windows не переустанавливается: не дает отформатировать и не дает удалить раздел. Если удалось как то  установить какой ни будь утилиту по уделению, начинаешь сканировать-   Windows перезагружается синим эканом. После перезагрузки система откатывается в начало как было до  манипуляций с компьютером. Диск С забит.  
      CollectionLog-2025.02.15-01.30.zip
×
×
  • Создать...