Перейти к содержанию
Правила раздела
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Случайно попался майнер и не могу удалить tool.btcmine.2782

Зядик Леонид

Автор Зядик Леонид
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код) 

begin
ExecuteRepair(9);
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано

Загрузитесь в безопасном режиме.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\public\libraries\af723e61-9af5-48f9-9148-7027ae897901\securitycentreutil.exe');
 QuarantineFile('c:\users\public\libraries\af723e61-9af5-48f9-9148-7027ae897901\securitycentreutil.exe','');
 TerminateProcessByName('c:\users\public\libraries\musicgxo\lsassgv.exe');
 QuarantineFile('c:\users\public\libraries\musicgxo\lsassgv.exe','');
 TerminateProcessByName('c:\programdata\6f1e5a3f-8669-462b-8505-d555012d9948\bevmpdefendercoreservice.exe');
 QuarantineFile('c:\programdata\6f1e5a3f-8669-462b-8505-d555012d9948\bevmpdefendercoreservice.exe','');
 DeleteFile('c:\programdata\6f1e5a3f-8669-462b-8505-d555012d9948\bevmpdefendercoreservice.exe','32');
 DeleteFile('c:\users\public\libraries\musicgxo\lsassgv.exe','32');
 DeleteFile('c:\users\public\libraries\af723e61-9af5-48f9-9148-7027ae897901\securitycentreutil.exe','32');
 DeleteSchedulerTask('946358b2-920d-4b7b-8d4e-85e2a3060097');
 DeleteSchedulerTask('cbd4919c-cf72-4ed9-bacf-308c5ba1b688');
 DeleteSchedulerTask('DiagnosticPolicyService');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FRST64.exe') ;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Загрузитесь в обычном режиме.

 

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано

Пробуйте теперь собрать логи Farbar по инструкции на первой странице темы.

thyrex

thyrex

Опубликовано
Опубликовано

Да научитесь наконец читать!

 

Где второй файл, который нужен был по инструкции?

thyrex

thyrex

Опубликовано
Опубликовано

Окончания сканирования не дождались!

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-431948447-3381492083-3000547312-1001\...\Run: [GalaxyClient] => [X]
IFEO\a2service.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\acnamagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\acnamlogonagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AnVir.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\anvir64.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\anvirlauncher.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\aswidsagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\autoruns.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\autorunsc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AvastSvc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AvastUI.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AvastUI.p.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avgnt.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avgsvc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avguard.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AVKService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avp.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avpui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\bcdedit.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\bdagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\bdservicehost.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\BullGuardSvc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ccSvcHst.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\clientcommunicationservice.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\cmdagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\CybereasonRansomFreeService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\DeepInstinctService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\dism.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\dwservice.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\egui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ekrn.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\EPConsole.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\F-Secure.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\GDataAVK.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\GlassWire.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\GlassWireSetup.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\HeimdalClientHost.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\kldw.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\klwtblfs.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\KVRT.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamservice.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamtray.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mcshield.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mfeesp.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mfetp.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mmc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mstsc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\n360.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\nortonsecurity.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ntrtscan.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\OpenHardwareMonitor.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\panda_url_filtering.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\pavfnsvr.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\pavsrv.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\pccntmon.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PowerTool.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PowerTool64.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PSANHost.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PSUAService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ReAgentc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\recoverydrive.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\rstrui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\SAVAdminService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\SAVService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\SBAMSvc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\SecureAPlus.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\shstat.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\Smc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\sophosav.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\sophosclean.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\sophoshealth.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\sophossps.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\sophosui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\systemreset.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\tcpview.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\tcpview64.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\TMASOAgent.exe.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\TrustwaveService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\V3Svc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\VirusTotalUpload.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\vssadmin.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\vsserv.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\Wireshark.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\WRSA.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\wuapihost.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\wuauclt.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\x32dbg.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\x64dbg.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\xcopy.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ZAPrivacyService.exe: [MinimumStackCommitInBytes] 1099466887
Folder: C:\ProgramData\6f1e5a3f-8669-462b-8505-d555012d9948
Folder: C:\ProgramData\ad4babc5-c6d3-477d-8ebc-b858af0e03ec
Folder: C:\Users\Public\Libraries
2025-03-15 16:29 - 2025-03-22 22:02 - 000000000 __SHD C:\ProgramData\6f1e5a3f-8669-462b-8505-d555012d9948
2025-03-15 16:29 - 2025-03-20 10:10 - 000000000 __SHD C:\ProgramData\ad4babc5-c6d3-477d-8ebc-b858af0e03ec
2025-03-15 16:29 - 2019-12-07 14:14 - 000000000 __RHD C:\Users\Public\Libraries
CustomCLSID: HKU\S-1-5-21-431948447-3381492083-3000547312-1001_Classes\CLSID\{2ABD6384-2E18-40E8-8439-F06D21E0B03D}\InprocServer32 -> C:\Users\Леонид\AppData\Local\Microsoft\EdgeUpdate\1.3.195.43\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-431948447-3381492083-3000547312-1001_Classes\CLSID\{2FDB3305-19B8-4FE2-972B-ED5E97CBBD6E}\InprocServer32 -> C:\Users\Леонид\AppData\Local\Microsoft\EdgeUpdate\1.3.195.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-431948447-3381492083-3000547312-1001_Classes\CLSID\{4FFB4BD8-A109-4F25-A4DB-313678B19417}\InprocServer32 -> C:\Users\Леонид\AppData\Local\Microsoft\EdgeUpdate\1.3.195.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-431948447-3381492083-3000547312-1001_Classes\CLSID\{5FC44EBC-3A1F-4FBB-85E5-34405788C8D7}\InprocServer32 -> C:\Users\Леонид\AppData\Local\Microsoft\EdgeUpdate\1.3.187.41\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-431948447-3381492083-3000547312-1001_Classes\CLSID\{6DD6748E-7DAE-47EF-B4D5-03AA1B06D697}\InprocServer32 -> C:\Users\Леонид\AppData\Local\Microsoft\EdgeUpdate\1.3.187.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-431948447-3381492083-3000547312-1001_Classes\CLSID\{78C1ADF4-6DAE-4164-AEFA-4E3EAD9E750A}\InprocServer32 -> C:\Users\Леонид\AppData\Local\Microsoft\EdgeUpdate\1.3.195.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-431948447-3381492083-3000547312-1001_Classes\CLSID\{83F21C4B-8643-4A08-A29A-822AFD835037}\InprocServer32 -> C:\Users\Леонид\AppData\Local\Microsoft\EdgeUpdate\1.3.193.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-431948447-3381492083-3000547312-1001_Classes\CLSID\{A087E49F-1F8E-4603-A200-55537B737421}\InprocServer32 -> C:\Users\Леонид\AppData\Local\Microsoft\EdgeUpdate\1.3.195.25\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-431948447-3381492083-3000547312-1001_Classes\CLSID\{B258532D-3529-4BEB-BF38-F08F98B3968C}\InprocServer32 -> C:\Users\Леонид\AppData\Local\Microsoft\EdgeUpdate\1.3.195.15\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-431948447-3381492083-3000547312-1001_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\Леонид\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-431948447-3381492083-3000547312-1001_Classes\CLSID\{BC4C72EF-3055-4A6D-86E1-AE4D24DB63CA}\InprocServer32 -> C:\Users\Леонид\AppData\Local\Microsoft\EdgeUpdate\1.3.195.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-431948447-3381492083-3000547312-1001_Classes\CLSID\{F1658933-2997-4DDB-869C-061D53A9718E}\InprocServer32 -> C:\Users\Леонид\AppData\Local\Microsoft\EdgeUpdate\1.3.195.21\psuser_64.dll => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Зядик Леонид

Зядик Леонид

Опубликовано
  • Автор
Опубликовано

Да! Спсибо вам большое

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
thyrex

thyrex

Опубликовано
Опубликовано

По возможности исправьте:

 

AMD Software v.24.10.1 Внимание! Скачать обновления
Microsoft OneDrive v.25.031.0217.0003 Внимание! Скачать обновления
WinRAR 7.01 (64-bit) v.7.01.0 Внимание! Скачать обновления
Discord v.1.0.9059 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-x64.exe - Windows Offline (64-bit))^
K-Lite Mega Codec Pack 18.3.5 v.18.3.5 Внимание! Скачать обновления
Yandex v.25.2.2.834 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.134.0.6998.118 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

На этом закончим.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ArtemEvans
      Медленно работает ПК, есть подозрения на скрытые угрозы
      Автор ArtemEvans
      Здравствуйте, не скажу что очень давно обновлял систему через центр обновлений, компьютер стал зависать, работаю удаленно, как-то на смене он у меня стал выключаться, возможно от перегрева, пришлось его на время сменить, а этот отдать малому. Почистил его от пыли, термопасту, радиатор посмотрел, все вычистил, но проблема осталась, менял БП, толку мало, немного нагревается, в момент сильных нагрузок может вырубиться, раньше такого даже после покупки такого не было,стоит дать нагрузку и все тухнет, а для удаленной работы этот жесткий триггер, в момент нагрева, выключается, включить сможешь только через 10 минут пока немного остынет.
       
      Я уже все протестировал, я не знаю куда копать, начнет нагреваться, неожиданно вырубится и конец рабочей смене (мои тех.неполадки с данным ПК.)
      Может систему на полегче поставить, 10 домашняя для одного язык, для работы как раз нужна десятка, раньше работал, души не чаял, сейчас какие-то проблемы постоянно, то браузер долго открывается, долгий отклик, если нагревается начинает троить. я уже не знаю, может драйвера обновить или систему переустановить, БП менял, все чистил, но проблема осталась.
       
      Подскажите, пожалуйста, что можно сделать с моим ПК?
      ПК: Acer Aspire C27-962 Series, помогите пожалуйста!
       
      Прикрепляю логи:
       
      CollectionLog-2025.10.14-15.09.zip
    • Екатерина28
      Помогите удалить вирус
      Автор Екатерина28
      Здравствуйте. Пожалуйста, помогите удалить вирус с ПК. Сегодня искала одну книгу и при заходе на сайт Флибуста (я так понимаю, что это был фейковый сайт-клон), копм сразу же выбросило в синий экран. После перезагрузки в строке поиска Яндекса появилась буква S, нажав на которую, появляется всплывающее окно с надписью анонимной регистрации. Хотелось бы избавиться от этой ерунды.
      Посмотрела код ошибки синего экрана, вот что указано: Компьютер был перезагружен после критической ошибки.  Код ошибки: 0x0000003b (0x00000000c0000005, 0xfffff8016aa1f855, 0xffff9a80fbd76730, 0x0000000000000000). 
      Дамп памяти сохранен в: C:\Windows\Minidump\101225-9703-01.dmp. Код отчета: 6b31ec03-663f-41c6-aaae-fe346c61c230.
       

       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • m1ghtybtw
      не работает интернет из-за вируса
      Автор m1ghtybtw
      Приветствую, сегодня с момента включения пк не работает интернет, в дом.ру сказали, что проблема со стороны моего пк, запустил dr.web cureit и выдал вирус, после в планировщике задач нашёл этот файл в папке utorrent, на пк у меня qbittorrent, найти я папку с вирусным файлом не смог, в ласт активити идно, что этот вирус запустился сразу после включения пк.
       
      CollectionLog-2025.10.11-20.01.zip
    • serenka103
      [РЕШЕНО] Переименовались службы из за вирусов!
      Автор serenka103
      Здравствуйте! Возникла проблема, у меня из за вирусов не работает центр обновления Windows, также переименовались службы: wuauserv_bkp, BITS_bkp, dosvc.bkp UsoSvc.bkp и WasSMedicSvc_bkp. Что мне делать?
      CollectionLog-2025.10.10-12.31.zip
    • Akira
      Не получается удалить NET:MINERS.URL
      Автор Akira
      Здравствуйте! не получается удалить майнер NET:MINERS.URL. Dr.web так же не смог удалить
×
×
  • Создать...