[РЕШЕНО] Приветствую, словил майнер по названием: tool.btcmine.2782 .

[Licueur]

Всех приветствую, на днях словил майнер tool.btcmine.2782, пытался удалить через dr.web, не получается, майнер все равно появляется. Просьба помочь удалить майнер, буду рад вашей помощи.

CollectionLog-2025.03.20-22.01.zip

Изменено 20 марта пользователем Licueur

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('C:\ProgramData\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b\zjebackgroundTaskHost.exe');
 TerminateProcessByName('c:\programdata\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b\zjebackgroundtaskhost.exe');
 QuarantineFile('c:\programdata\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b\zjebackgroundtaskhost.exe','');
 QuarantineFile('C:\ProgramData\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b\zjebackgroundTaskHost.exe','');
 TerminateProcessByName('c:\users\public\libraries\82df22c5-69f1-41d3-b3c2-564ccd049ff1\searchfilterhostdi.exe');
 TerminateProcessByName('c:\users\public\libraries\b410c0e2-7d03-45c5-b7c3-474825e3416d\securitycentreutil.exe');
 QuarantineFile('c:\users\public\libraries\b410c0e2-7d03-45c5-b7c3-474825e3416d\securitycentreutil.exe','');
 QuarantineFile('c:\users\public\libraries\82df22c5-69f1-41d3-b3c2-564ccd049ff1\searchfilterhostdi.exe','');
 DeleteFile('c:\users\public\libraries\82df22c5-69f1-41d3-b3c2-564ccd049ff1\searchfilterhostdi.exe','32');
 DeleteFile('c:\users\public\libraries\b410c0e2-7d03-45c5-b7c3-474825e3416d\securitycentreutil.exe','32');
 DeleteFile('C:\ProgramData\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b\zjebackgroundTaskHost.exe','32');
 DeleteFile('c:\programdata\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b\zjebackgroundtaskhost.exe','32');
 DeleteSchedulerTask('03dd1e76-a21d-4308-936d-adb2e58787d0');
 DeleteSchedulerTask('5a6b4a4c-faec-4a8c-9642-417d46722335');
 DeleteSchedulerTask('DiagnosticPolicyService');
 DeleteSchedulerTask('iTop summer Task (One-Time)');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Licueur]

CollectionLog-2025.03.20-23.43.zip

 

очень извиняюсь, но не смогу ответить в ближайшие 10 часов

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Licueur]

у меня почему то вылазит ошибка, 

 

я тоже с зеркала скачал, и все равно такая же ошибка 

 

[Sandor]

@driverdimka читайте правила, вы не можете писать в этом разделе, тем более в чужой теме.

@Licueur я только что проверил, программа с основной ссылки нормально запускается и другую качать не нужно. Пробуйте запустить в безопасном режиме.

[Licueur]

не получается, все равно пишет что ошибка 

 

[Sandor]

На системном диске достаточно свободного места?

Программу запускаете правой кнопкой от имени администратора?

[Licueur]

на диске 240гб, запускаю от имени администратора 

[thyrex]

Соберите еще раз логи по правилам, вдруг повторно что-то за это время подцепили.

[Licueur]

CollectionLog-2025.03.21-23.56.zip

[thyrex]

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFileMask('C:\ProgramData\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b', '*', true);
 DeleteDirectory('C:\ProgramData\b6dd99f3-d1d9-472a-ad2a-cbe320c5a88b');
 DeleteFileMask('C:\ProgramData\6fe758cd-36fd-453e-a4f5-2a2e7692a5f2', '*', true);
 DeleteDirectory('C:\ProgramData\6fe758cd-36fd-453e-a4f5-2a2e7692a5f2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Licueur]

сделал

[thyrex]

Что ж за беда у пользователей с чтением сегодня...

 

Пробуйте собрать логи Farbar. Если снова будет появляться ошибка, переименуйте frst64.exe в frst123.exe, и попробуйте собрать логи.

[Licueur]

FIRST и Addition.rar