Перейти к содержанию

Приветствую, словил майнер по названием: tool.btcmine.2782


Рекомендуемые сообщения

Опубликовано

Если SM работал недавно, можно попробовать откатить систему на момент, когда есть точка восстановления, и не было вирусного заражения.

  • Ответов 90
  • Создана
  • Последний ответ

Топ авторов темы

  • Антон321

    42

  • safety

    36

  • Sandor

    13

Опубликовано

Есть точка восстановления после которой безопасный работал! Но вирус уже был на компе часов как 12

Делать восстановление?

 

Делать?

Опубликовано

Не заходит в безопасный режим

IMG_0997.jpeg

 

непонятно что делать!

 

А как сделать загрузочную флешку 11 винды?? может сделать и попробовать с неё востановить?? или нет разницы?

Опубликовано

Вообще проявление вируса не вижу уже второй день, его как то заблочили или что?? и вообще как то можно вернуть полную работоспособность Винды ( Касперский не устанавливается, и  не входит в безопасный режим)

Опубликовано

Поработайте некоторое время,

если вирусные проблемы обнаружатся, напишите в данной теме.

 

Если необходимо будет восстановление безопасного режима, или установка антивируса, напишите в раздел Компьютерной помощи,

  • Like (+1) 1
Опубликовано
11 часов назад, Антон321 сказал:

Касперский не устанавливается

Появляется какая-то ошибка?

Опубликовано

Не запускается и всё, не ни ошибки ни чего!

Как скачивается с сайта, сразу проходит типо установки, на рабочем столе появляется иконка. Нажимаешь и ничего не происходит. 

Опубликовано (изменено)
26 минут назад, Антон321 сказал:

Как скачивается с сайта, сразу проходит типо установки, на рабочем столе появляется иконка. Нажимаешь и ничего не происходит. 

Там же остались записи с блокировкой запуска Касперского, которые мы не смогли удалить из  нормального режима.

Цитата

O26 - Debugger (Stack Rumbling): HKLM\..\avp.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\avpui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\kldw.exe: [MinimumStackCommitInBytes] = 0x41888887

 

А в безопасный не смогли войти. А из точки восстановления не смогли восстановиться. Придется, подождать некоторое время пока функция очистки ключей будет реализована в новой версии uVS, и тогда можно будет или с нормального режима очиститься, или из под winpe.

Изменено пользователем safety
Опубликовано (изменено)

Скачайте обновленную версию uVS, далее, продолжаем с ней работать.

 

нужен новый образ автозапуска для анализа остаточных проблем.

 

Если уже забыли как его создать, дублирую здесь инструкцию:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip),

распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Изменено пользователем safety
Опубликовано (изменено)

да, теперь видим эти строки:

Quote

(!) Найдено значение Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\MinimumStackCommitInBytes: 0x41888887 [большое значение может блокировать запуск процесса]

 

Выполним очистку системы в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.11v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\HOME\DESKTOP\AUTOLOGGER\RSIT\RSITX64.EXE
regt 35
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAM FILES\EQUALIZERAPO\CONFIG\PEACESETUP.EXE
addsgn 1A24A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088BE563C7075174 8 Win32/CoinMiner.CFA [ESET-NOD32] 7

chklst
delvir

apply

deltmp
delref %Sys32%\DRIVERS\SRV.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref �\[CLSID]
delref %SystemDrive%\PROGRAM FILES\EQUALIZERAPO\CONFIG\PEACE.EXE
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Добавьте новые логи FRST для контроля очистки.

Изменено пользователем safety
Опубликовано (изменено)

жестко ключ защищен, недостает прав, даже от Администратора зачистить этот ключ.

 

Quote

regt 35
--------------------------------------------------------------------------------------------------
Очистка ключей Image File Execution Options
--------------------------------------------------------------------------------------------------
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
(!) Не удалось удалить значение в ключе реестра [Error: 0x5 - Отказано в доступе. ]
--------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avpui.exe
(!) Не удалось удалить значение в ключе реестра [Error: 0x5 - Отказано в доступе. ]
--------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kldw.exe
(!) Не удалось удалить значение в ключе реестра [Error: 0x5 - Отказано в доступе. ]

 

остается вариант очистки только с использованием загрузочного диска.

Система у вас рабочая, пробуйте создать загрузочную флэшку.

 

Образ загрузочного диска iso можно скачать отсюда.

Изменено пользователем safety
Опубликовано

как сделать загрузочную флешку с видой 11?э

 

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Licueur
      Автор Licueur
      Всех приветствую, на днях словил майнер tool.btcmine.2782, пытался удалить через dr.web, не получается, майнер все равно появляется. Просьба помочь удалить майнер, буду рад вашей помощи.
      CollectionLog-2025.03.20-22.01.zip
    • Antonyy
      Автор Antonyy
      Здравствуйте, словил майнер Tool.BtcMine.2794. Пытался почистить с помощь Cure It, удаляется ровно до следующей перезагрузки ПК. логи с FRST в архиве
      111.7z
    • w0r9en
      Автор w0r9en
      Добрый день! Нашел и обезвредил с помощь cureit, потом сделал лог CollectionLog-2025.07.13-15.39.zip
    • Turpal
      Автор Turpal
      Доброго времени суток.
      Проблема с найденным майнером tool.btcmine.2812. При удалении/обезвреживании файла (winaijservice.exe в одноименной папке), в котором он находится, он создается снова после перезагрузки компьютера. Прикладываю архив с логами сканирования от автологгера.
      CollectionLog-2025.06.26-15.13.zip
    • Waldo
      Автор Waldo
      Добрый день!
      Резко возросла нагрузка на ГПУ до 100%, в диспетчере задач обнаружил WinServiceNetworking, который и выдает всю эту нагрузку.
      При снятии задачи автоматически появляется снова несколько минут спустя.
      "Открыть расположение файла" привело в папку "C:\ProgramData\WinAIHServiceProgram Data"
      В ней 4 файла:
      OpenCL.dll
      WinNetService.dat
      WinAIHService
      WinServiceNetworking
       
      В двух последних CureIT обнаружил трояна и майнера (tool.btcmine.2794) соответственно.
       
      Лог от Autologger во вложении.
       
      CollectionLog-2025.06.26-19.28.zip
×
×
  • Создать...