Перейти к содержанию

[РЕШЕНО] Вирусы - Майнеры - Tool.BtcMine.2622/2627 - Не открываются любые файлы exe.


Рекомендуемые сообщения

Здравствуйте! Возникла такая дилемма, а именно : Перестали открываться любые файлы exe. ; Ноутбук стал работать более громко и повысилась нагрузка на ЦП и ГП. Так как файлы exe не открывались, пришлось открывать Dr. Web с помощью Winrar. Только после архивации exe файла, у меня получается что либо установить и открыть. После прогонки Dr.Web удалил все вирусы (парочку случайно зацепил и поместил в карантин), но exe файлы так и не открываются и ноутбук немного нагружен. Нужна помощь, заранее благодарю. Система Win 11. Если что, простите заранее за глупые вопросы (совсем чайник в данном).

image.png

Изменено пользователем Evgeniych
Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 30
  • Создана
  • Последний ответ

Топ авторов темы

  • Evgeniych

    16

  • safety

    15

Популярные дни

Топ авторов темы

Изображения в теме

Пробуйте AVBR применить, только имя ему надо будет поменять, так как его запуск блокируется в системе

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = AVbr.exe

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

Ссылка на комментарий
Поделиться на другие сайты

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.6v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide E:\PROGRAM\AUTOLOGGER\RSIT\RSITX64.EXE
hide E:\PROGRAM\VPN\BRIGHT VPN\NET_UPDATER32.EXE
;------------------------autoscript---------------------------

delall %SystemRoot%\SYSWOW64\MACROMED\FLASH\NPSWF32_32_0_0_192.DLL
delall %Sys32%\MACROMED\FLASH\NPSWF64_32_0_0_192.DLL
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://SECURESEARCH.ORG/HOMEPAGE?HP=2&PID=BT171101&IDATE=2020-06-06 11:43:46&BNAME=
apply

; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet


deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\MBAEPARSERTASK.EXE
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\DEFAULT-BROWSER-AGENT.EXE
delref %SystemDrive%\PROGRAM FILES\NEFARIUS SOFTWARE SOLUTIONS\NEFARIUS VIRTUALPAD DRIVER RUNTIME\NEFARIUSVIRTUALPADDRIVERSERVICEUPDATER.EXE
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\SEARCHBAND\APPLICATION\5.5.0.1923\SEARCHBANDAPP64.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {C885AA15-1764-4293-B82A-0586ADD46B35}\[CLSID]
delref {E8C77137-E224-5791-B6E9-FF0305797A13}\[CLSID]
delref %Sys32%\MSPAINT.EXE
delref %Sys32%\OCPUPDATEAGENT.DLL
delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\IDLISTEN.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\WINJSON.DLL
delref %Sys32%\SETTINGSYNC.DLL
delref %Sys32%\PACKAGESTATEROAMING.DLL
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\CELLULARAPI.DLL
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\RFXVMT.DLL
delref %Sys32%\NETWORKSTATUS.DLL
delref %Sys32%\DRIVERS\RFXVMT.SYS
delref %Sys32%\SETTINGSYNCCORE.DLL
delref %SystemDrive%\PROGRAM FILES\WINDOWS DEFENDER\MSASCUI.EXE
delref %Sys32%\PERFCTRS.DLL
delref %Sys32%\NETCELLCORECELLMANAGERPROVIDERRESOURCES.DLL
delref %Sys32%\AZURESETTINGSYNCPROVIDER.DLL
delref %Sys32%\CLOUDSTORAGEWIZARD.EXE
delref %Sys32%\LISTSVC.DLL
delref %Sys32%\DRIVERS\IALPSS2_UART2_CNL.SYS
delref %Sys32%\DRIVERS\WCNFS.SYS
delref %Sys32%\PERFTRACK.DLL
delref %Sys32%\DRIVERS\IALPSS2_I2C_CNL.SYS
delref %Sys32%\PROVSVC.DLL
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\DAL.INF_AMD64_FFC75848A6342FDF\JHI_SERVICE.EXE
delref %Sys32%\DUCUPDATEAGENT.DLL
delref %Sys32%\ONEDRIVESETTINGSYNCPROVIDER.DLL
delref %Sys32%\USERLANGUAGESCPL.DLL
delref %Sys32%\SMSROUTER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\DRIVERS\ACE-GAME.SYS
delref %Sys32%\DRIVERS\ACE-GAME-0.SYS
delref %SystemDrive%\PROGRAM FILES\ANTICHEATEXPERT\SGUARD\X64\PLUGINS\ACE-SSC-DRV64.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\119.0.6045.160\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\119.0.6045.160\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\120.0.6099.218\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.86\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\ADNLFJPNMIDFIMLKAOHPIDPLNOIMAHFH\2020.10.1.42178_0\YOUTUBE
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.935\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\AHJBODCCCHADKKMPNCMEDABKFPKAIDAA\2020.10.1.42178_0\ВКОНТАКТЕ
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\BCADIGMKECMHHKNAMEOPGAIDPHAMEINH\2020.10.1.42177_0\Я.ПОЧТА
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\BGCHJDFJGCJNINCACHJGPJMFCBENHJHG\2020.12.18.37993_0\ТЕЛЕМОСТ
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.6.0.910\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\DKDNOOEAOAPJFNJIGLEGHMHNNHLILHPN\2020.10.1.42178_0\ДЗЕН
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.6.0.910\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.6.0.910\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.6.0.910\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.0.2947\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.6.0.910\RESOURCES\YANDEX\ALICE_VOICE_ACTIVATION\ГОЛОСОВАЯ АКТИВАЦИЯ ПОМОЩНИКА АЛИСА
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\114.0.1823.51\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\114.0.1823.51\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.62\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.37\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.67\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref F:\GAMES\FORTNITE\FORTNITEGAME\BINARIES\WIN64\FORTNITELAUNCHER.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

+

добавьте логи FRST, для контроля очистки.

Ссылка на комментарий
Поделиться на другие сайты

Пардон, где я могу найти эти логи? После использования FRST файл открылся автоматически (не сохранился из-за использование FRST в архиве).

 

Ссылка на комментарий
Поделиться на другие сайты

А если FRST.exe переименовать в FRST.cmd, например?

3 минуты назад, Evgeniych сказал:

После использования FRST файл открылся автоматически (не сохранился из-за использование FRST в архиве).

 

можно использовать сохранить как, если они открылись в блокноте, и указать папку сохранения.

Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9560]
SearchScopes: HKU\S-1-5-21-2562876220-3247988091-3937954535-1001 -> {993F5746-4C15-42BC-99C1-064A1764271B} URL = hxxps://securesearch.org?q={searchTerms}
IE trusted site: HKU\S-1-5-21-2562876220-3247988091-3937954535-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-2562876220-3247988091-3937954535-1001\...\webcompanion.com -> hxxp://webcompanion.com
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • obed
      Автор obed
      CollectionLog-2025.03.22-01.13.zip
      помогите пожалуйста((((
       
      Всех приветствую, на днях словил майнер tool.btcmine.2782, пытался удалить через dr.web, не получается, майнер все равно появляется. Просьба помочь удалить майнер, буду рад вашей помощи.
       
      Сообщение от модератора thyrex Перемещено из Интервью с экспертами
       
    • Антон321
      Автор Антон321
      Приветствую, словил майнер по названием: tool.btcmine.2782, уже всем подрят пытался удалить и никак не выходит, касперский вообще не запускаеться, WEb находит говорит что удалил но через 2 минуты снова вылазит!! Помогите
      CollectionLog-2025.03.24-17.26.zip
    • Licueur
      Автор Licueur
      Всех приветствую, на днях словил майнер tool.btcmine.2782, пытался удалить через dr.web, не получается, майнер все равно появляется. Просьба помочь удалить майнер, буду рад вашей помощи.
      CollectionLog-2025.03.20-22.01.zip
    • Зядик Леонид
      Автор Зядик Леонид
      Во время игры ЦП сильно нагрузился, зайдя в диспечер задач было 100% и упало до манимальных. Скачивал антивирусы по типу Dr.Web после удаления он снова возвращался и нагружал ЦП, даже я нашел папку с ним и решил удалить саму папку, но ничего не изменилось, майнер востановился обратно. Помогите пожалуйста решить проблему
    • Stone_Pickle
      Автор Stone_Pickle
      Здравствуйте еще раз, как объяснили в прошлой теме один компьютер одна тема. 
      Единственное подозрение у меня на C:\Program Files\Client Helper
      Актуальные логи прикладываю
      CollectionLog-2025.03.25-08.16.zip

×
×
  • Создать...