Перейти к содержанию

[РЕШЕНО] Приветствую, словил майнер по названием: tool.btcmine.2782 .


Рекомендуемые сообщения

Опубликовано (изменено)

Всех приветствую, на днях словил майнер tool.btcmine.2782, пытался удалить через dr.web, не получается, майнер все равно появляется. Просьба помочь удалить майнер, буду рад вашей помощи.

CollectionLog-2025.03.20-22.01.zip

Изменено пользователем Licueur
Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('C:\ProgramData\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b\zjebackgroundTaskHost.exe');
 TerminateProcessByName('c:\programdata\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b\zjebackgroundtaskhost.exe');
 QuarantineFile('c:\programdata\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b\zjebackgroundtaskhost.exe','');
 QuarantineFile('C:\ProgramData\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b\zjebackgroundTaskHost.exe','');
 TerminateProcessByName('c:\users\public\libraries\82df22c5-69f1-41d3-b3c2-564ccd049ff1\searchfilterhostdi.exe');
 TerminateProcessByName('c:\users\public\libraries\b410c0e2-7d03-45c5-b7c3-474825e3416d\securitycentreutil.exe');
 QuarantineFile('c:\users\public\libraries\b410c0e2-7d03-45c5-b7c3-474825e3416d\securitycentreutil.exe','');
 QuarantineFile('c:\users\public\libraries\82df22c5-69f1-41d3-b3c2-564ccd049ff1\searchfilterhostdi.exe','');
 DeleteFile('c:\users\public\libraries\82df22c5-69f1-41d3-b3c2-564ccd049ff1\searchfilterhostdi.exe','32');
 DeleteFile('c:\users\public\libraries\b410c0e2-7d03-45c5-b7c3-474825e3416d\securitycentreutil.exe','32');
 DeleteFile('C:\ProgramData\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b\zjebackgroundTaskHost.exe','32');
 DeleteFile('c:\programdata\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b\zjebackgroundtaskhost.exe','32');
 DeleteSchedulerTask('03dd1e76-a21d-4308-936d-adb2e58787d0');
 DeleteSchedulerTask('5a6b4a4c-faec-4a8c-9642-417d46722335');
 DeleteSchedulerTask('DiagnosticPolicyService');
 DeleteSchedulerTask('iTop summer Task (One-Time)');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Опубликовано

у меня почему то вылазит ошибка, image.thumb.png.787f4cbff3fcf2acef2f2c7eae67cf43.png

 

я тоже с зеркала скачал, и все равно такая же ошибка 

 

Опубликовано

@driverdimka читайте правила, вы не можете писать в этом разделе, тем более в чужой теме.

@Licueur я только что проверил, программа с основной ссылки нормально запускается и другую качать не нужно. Пробуйте запустить в безопасном режиме.

  • Печаль 1
Опубликовано

не получается, все равно пишет что ошибка 

 

Опубликовано

На системном диске достаточно свободного места?

Программу запускаете правой кнопкой от имени администратора?

Опубликовано

на диске 240гб, запускаю от имени администратора 

Опубликовано

Соберите еще раз логи по правилам, вдруг повторно что-то за это время подцепили.

Опубликовано

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFileMask('C:\ProgramData\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b', '*', true);
 DeleteDirectory('C:\ProgramData\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b');
 DeleteFileMask('C:\ProgramData\6fe758cd-36fd-453e-a4f5-2a2e7692a5f2', '*', true);
 DeleteDirectory('C:\ProgramData\6fe758cd-36fd-453e-a4f5-2a2e7692a5f2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Опубликовано

Что ж за беда у пользователей с чтением сегодня...

 

Пробуйте собрать логи Farbar. Если снова будет появляться ошибка, переименуйте frst64.exe в frst123.exe, и попробуйте собрать логи.

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Антон321
      Автор Антон321
      Приветствую, словил майнер по названием: tool.btcmine.2782, уже всем подрят пытался удалить и никак не выходит, касперский вообще не запускаеться, WEb находит говорит что удалил но через 2 минуты снова вылазит!! Помогите
      CollectionLog-2025.03.24-17.26.zip
    • Antonyy
      Автор Antonyy
      Здравствуйте, словил майнер Tool.BtcMine.2794. Пытался почистить с помощь Cure It, удаляется ровно до следующей перезагрузки ПК. логи с FRST в архиве
      111.7z
    • Turpal
      Автор Turpal
      Доброго времени суток.
      Проблема с найденным майнером tool.btcmine.2812. При удалении/обезвреживании файла (winaijservice.exe в одноименной папке), в котором он находится, он создается снова после перезагрузки компьютера. Прикладываю архив с логами сканирования от автологгера.
      CollectionLog-2025.06.26-15.13.zip
    • Waldo
      Автор Waldo
      Добрый день!
      Резко возросла нагрузка на ГПУ до 100%, в диспетчере задач обнаружил WinServiceNetworking, который и выдает всю эту нагрузку.
      При снятии задачи автоматически появляется снова несколько минут спустя.
      "Открыть расположение файла" привело в папку "C:\ProgramData\WinAIHServiceProgram Data"
      В ней 4 файла:
      OpenCL.dll
      WinNetService.dat
      WinAIHService
      WinServiceNetworking
       
      В двух последних CureIT обнаружил трояна и майнера (tool.btcmine.2794) соответственно.
       
      Лог от Autologger во вложении.
       
      CollectionLog-2025.06.26-19.28.zip
    • w0r9en
      Автор w0r9en
      Добрый день! Нашел и обезвредил с помощь cureit, потом сделал лог CollectionLog-2025.07.13-15.39.zip
×
×
  • Создать...