Вирусы - Майнеры - Tool.BtcMine.2622/2627 - Не открываются любые файлы exe.

[Evgeniych]

Здравствуйте! Возникла такая дилемма, а именно : Перестали открываться любые файлы exe. ; Ноутбук стал работать более громко и повысилась нагрузка на ЦП и ГП. Так как файлы exe не открывались, пришлось открывать Dr. Web с помощью Winrar. Только после архивации exe файла, у меня получается что либо установить и открыть. После прогонки Dr.Web удалил все вирусы (парочку случайно зацепил и поместил в карантин), но exe файлы так и не открываются и ноутбук немного нагружен. Нужна помощь, заранее благодарю. Система Win 11. Если что, простите заранее за глупые вопросы (совсем чайник в данном).

Изменено 14 часов назад пользователем Evgeniych

[Evgeniych]

Скриншот, после 2-й проверки и удаления файлов через Dr.Web. 

 

Логи

CollectionLog-2025.01.22-08.08.zip

[safety]

Пробуйте AVBR применить, только имя ему надо будет поменять, так как его запуск блокируется в системе

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = AVbr.exe

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

[Evgeniych]

AV_block_remove_2025.01.22-10.19.log CollectionLog-2025.01.22-10.31.zip

[safety]

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Evgeniych]

EVGENIYCH_2025-01-22_10-50-55_v4.99.6v x64.7z

[safety]

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.6v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide E:\PROGRAM\AUTOLOGGER\RSIT\RSITX64.EXE
hide E:\PROGRAM\VPN\BRIGHT VPN\NET_UPDATER32.EXE
;------------------------autoscript---------------------------

delall %SystemRoot%\SYSWOW64\MACROMED\FLASH\NPSWF32_32_0_0_192.DLL
delall %Sys32%\MACROMED\FLASH\NPSWF64_32_0_0_192.DLL
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://SECURESEARCH.ORG/HOMEPAGE?HP=2&PID=BT171101&IDATE=2020-06-06 11:43:46&BNAME=
apply

; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet


deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\MBAEPARSERTASK.EXE
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\DEFAULT-BROWSER-AGENT.EXE
delref %SystemDrive%\PROGRAM FILES\NEFARIUS SOFTWARE SOLUTIONS\NEFARIUS VIRTUALPAD DRIVER RUNTIME\NEFARIUSVIRTUALPADDRIVERSERVICEUPDATER.EXE
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\SEARCHBAND\APPLICATION\5.5.0.1923\SEARCHBANDAPP64.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {C885AA15-1764-4293-B82A-0586ADD46B35}\[CLSID]
delref {E8C77137-E224-5791-B6E9-FF0305797A13}\[CLSID]
delref %Sys32%\MSPAINT.EXE
delref %Sys32%\OCPUPDATEAGENT.DLL
delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\IDLISTEN.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\WINJSON.DLL
delref %Sys32%\SETTINGSYNC.DLL
delref %Sys32%\PACKAGESTATEROAMING.DLL
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\CELLULARAPI.DLL
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\RFXVMT.DLL
delref %Sys32%\NETWORKSTATUS.DLL
delref %Sys32%\DRIVERS\RFXVMT.SYS
delref %Sys32%\SETTINGSYNCCORE.DLL
delref %SystemDrive%\PROGRAM FILES\WINDOWS DEFENDER\MSASCUI.EXE
delref %Sys32%\PERFCTRS.DLL
delref %Sys32%\NETCELLCORECELLMANAGERPROVIDERRESOURCES.DLL
delref %Sys32%\AZURESETTINGSYNCPROVIDER.DLL
delref %Sys32%\CLOUDSTORAGEWIZARD.EXE
delref %Sys32%\LISTSVC.DLL
delref %Sys32%\DRIVERS\IALPSS2_UART2_CNL.SYS
delref %Sys32%\DRIVERS\WCNFS.SYS
delref %Sys32%\PERFTRACK.DLL
delref %Sys32%\DRIVERS\IALPSS2_I2C_CNL.SYS
delref %Sys32%\PROVSVC.DLL
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\DAL.INF_AMD64_FFC75848A6342FDF\JHI_SERVICE.EXE
delref %Sys32%\DUCUPDATEAGENT.DLL
delref %Sys32%\ONEDRIVESETTINGSYNCPROVIDER.DLL
delref %Sys32%\USERLANGUAGESCPL.DLL
delref %Sys32%\SMSROUTER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\DRIVERS\ACE-GAME.SYS
delref %Sys32%\DRIVERS\ACE-GAME-0.SYS
delref %SystemDrive%\PROGRAM FILES\ANTICHEATEXPERT\SGUARD\X64\PLUGINS\ACE-SSC-DRV64.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\119.0.6045.160\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\119.0.6045.160\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\120.0.6099.218\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.86\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\ADNLFJPNMIDFIMLKAOHPIDPLNOIMAHFH\2020.10.1.42178_0\YOUTUBE
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.935\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\AHJBODCCCHADKKMPNCMEDABKFPKAIDAA\2020.10.1.42178_0\ВКОНТАКТЕ
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\BCADIGMKECMHHKNAMEOPGAIDPHAMEINH\2020.10.1.42177_0\Я.ПОЧТА
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\BGCHJDFJGCJNINCACHJGPJMFCBENHJHG\2020.12.18.37993_0\ТЕЛЕМОСТ
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.6.0.910\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\DKDNOOEAOAPJFNJIGLEGHMHNNHLILHPN\2020.10.1.42178_0\ДЗЕН
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.6.0.910\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.6.0.910\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.6.0.910\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.0.2947\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\ACER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.6.0.910\RESOURCES\YANDEX\ALICE_VOICE_ACTIVATION\ГОЛОСОВАЯ АКТИВАЦИЯ ПОМОЩНИКА АЛИСА
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\114.0.1823.51\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\114.0.1823.51\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.62\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\81.0.416.88\RESOURCES\PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.37\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.67\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref F:\GAMES\FORTNITE\FORTNITEGAME\BINARIES\WIN64\FORTNITELAUNCHER.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

+

добавьте логи FRST, для контроля очистки.

[Evgeniych]

FRST не запустился как exe, пришлось архивировать и запускать из архива.

 

2025-01-22_11-20-30_log.txt Shortcut.txt

[safety]

Нужны еще два файла из логов: FRST.txt и Addition.txt

[Evgeniych]

Пардон, где я могу найти эти логи? После использования FRST файл открылся автоматически (не сохранился из-за использование FRST в архиве).

 

[safety]

А если FRST.exe переименовать в FRST.cmd, например?

3 минуты назад, Evgeniych сказал:

После использования FRST файл открылся автоматически (не сохранился из-за использование FRST в архиве).

 

можно использовать сохранить как, если они открылись в блокноте, и указать папку сохранения.

[Evgeniych]

Вроде FRST открылся без архива, жду окончания процесса и получения заветных логов

 

FRST.txt Addition.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9560]
SearchScopes: HKU\S-1-5-21-2562876220-3247988091-3937954535-1001 -> {993F5746-4C15-42BC-99C1-064A1764271B} URL = hxxps://securesearch.org?q={searchTerms}
IE trusted site: HKU\S-1-5-21-2562876220-3247988091-3937954535-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-2562876220-3247988091-3937954535-1001\...\webcompanion.com -> hxxp://webcompanion.com
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[Evgeniych]

Fixlog.txt

[safety]

Что сейчас с запуском exe приложений?