Перейти к содержанию
Правила раздела

[РЕШЕНО] Поймала Tool.BtcMine.2794, восстанавливается после удаления

Stifffx

Автор Stifffx
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Stifffx

Stifffx

Опубликовано
Опубликовано

Заметил что видеокарта все время находится в полной загрузке, начал проверять через Dr.Web Curelt, нашел Tool.btcmine.2794. Пробовал удалить, ничего не получилось.

Прошу помочь с данной проблемой.

Прикрепил файл AutoLogger

CollectionLog-2025.05.22-09.34.zip

safety

safety

Опубликовано
Опубликовано

Создайте дополнительно образ автозапуска в uVS:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.
2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Stifffx

Stifffx

Опубликовано
  • Автор
Опубликовано (изменено)
16 минут назад, safety сказал:

Создайте дополнительно образ автозапуска в uVS:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.
2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Вроде бы сделал

 

STIFFFX_2025-05-22_10-50-56_v5.0.RC1.v x64.7z

Изменено пользователем Stifffx
safety

safety

Опубликовано
Опубликовано (изменено)

Да, стартер майнера, который в автозапуске, DrWeb не обнаруживает еще.

A Variant Of MSIL/CoinMiner.BTB

HEUR:Trojan-PSW.MSIL.Stealer.gen

https://www.virustotal.com/gui/file/c72a1724097da705ff3d373b941812180940469ef7da2e3ff09e3cd6ffb68e05/detection

 

По очистке системы:

По очистке системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.RC1.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\CAASERVICE\CAASERVICES.EXE
hide H:\PROGRAMS\AUTOLOGGER\RSIT\RSITX64.EXE
hide %SystemDrive%\USERS\STIFFFX\DESKTOP\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\STIFFFX\APPDATA\LOCAL\TEMP\97C7A83A-17E9-496C-BD5A-A1E266B81C35.TMP.NODE
delall %SystemDrive%\PROGRAMDATA\CAASERVICE\CAASERVICES.EXE
delref %SystemDrive%\PROGRAMDATA\CAASERVICE\
delall %SystemDrive%\PROGRAMDATA\CAASERVICE\MICROSOFT NETWORK REALTIME LNSPECTION SERVICE.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\NPGOOGLEUPDATE3.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\TASKS\MICROSOFT\OFFICE\OFFICE PERSISTENT ACTIVATION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.118\RESOURCES\WEB_STORE\WEB STORE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.118\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.118\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\USERS\STIFFFX\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.3.809\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\STIFFFX\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.3.809\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\STIFFFX\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.3.809\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\STIFFFX\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.3.809\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.72\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.72\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.72\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.72\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.72\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.72\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.72\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.72\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA BROADCAST\NVIDIA BROADCAST.EXE --PROCESS-START-ARGS
delref %SystemDrive%\USERS\STIFFFX\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

и Addition.txt добавьте

 

 

Судя по логу FRST запуск стартера майнера

C:\ProgramData\CAAService\CAAServices.exe

через ключ автозапуска

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CAA Service

удален успешно, а значит и майнера не будет в процессах.

Вы должны заметить это при повторном сканировании в Курейт.

 

+

если больше других вопросов или проблем в работе системы не осталось:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Если других вопросов  и проблем в работе системы не осталось:

 

Обновите по возможности данное ПО:

 

Microsoft Office LTSC профессиональный плюс 2024 - ru-ru v.16.0.17932.20360
TeamViewer v.15.50.5 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.25.035.0223.0003 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 7.10 (64-разрядная) v.7.10.0 Внимание! Скачать обновления

Opera GX Stable 117.0.5408.162 v.117.0.5408.162 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex v.25.4.0.1973 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.136.0.7103.114 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Google Update Helper v.1.3.33.17 Данная программа больше не поддерживается разработчиком.

 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

 

safety

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Багет
      [РЕШЕНО] есть подозрение на вирус, но пока не знаю какой именно (старый ноутбук)
      Автор Александр Багет
      Я решил проверить просмотр событий, а конкретно PowerShell, и увидел там очень много событий с кодом 4104. Поиски в интернете выдали мне информацию о том что такое событие может появляться из-за вредоносного кода или ПО. Такие события начали появляться оказывается еще аж с 2024 года.
      Проверки ноутбука Windows Defender никаких проблем не выявили, тогда я скачал Malwarebytes и сделал проверку им, в первый раз мне показало 54 нежелательных файла, в числе которых был torrent, yandex и mediaget, все они были помещены в карантин. Через время была сделана еще одна проверка которая нашла 4 нежелательных файла. Через проводник я удалил все связанное с torrent, yandex и mediaget. После всех чисток и проверок event id 4104 все равно появляется. Также почему-то когда я распаковывал архивы с помощью winrar антивирус Malwarebytes жаловался на подозрительный сайт и трояны которые исходили от winrar, архиватор я переустановил и такие предупреждения пропали.
      Проверки я проводил с выключенным и включенным интернетом, но больше они ничего подозрительного не находили. Единственное что меня смутило, проверки Malwarebytes длились от 2 до 3 часов.
      Изменений в работе пк я пока не замечал. Но в папке Users есть какой-то странный пользователь со знаками вопроса в названии папки.
       
      Подскажите как мне почистить ноутбук от вирусов или убедится что их нет? Буду очень рад помощи.


      Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 083207.txt Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 084341.txt Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 084435.txt Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 164019.txt Malwarebytes Отчет о проверке 2026-01-24 145534.txt Malwarebytes Отчет о проверке 2026-01-30 035639.txt CollectionLog-2026.02.01-13.21.zip
    • Александр Багет
      [РЕШЕНО] есть подозрение на вирус, но пока не знаю какой именно (новый ноутбук)
      Автор Александр Багет
      Началось все с того, что я решил залезть в "Просмотр событий" а конкретно в PowerShell. Там я обнаружил некоторое количество событий с кодом 4104 и решил проверить в интернете что это событие из себя представляет и стоит ли мне беспокоиться о нем. Какое-то количество информации об этом event id я нашел, и в основном там говорилось о подозрительной активности или вредоносном коде/ПО. Подобное событие генерируется стабильно от 2 до 10 раз за месяц.
      Помимо PowerShell я также зашел в журнал "Безопасность" там тоже одно событие которое меня напрягло, это event id 4688. Я снова залез в гугл проверить что это может быть, и в нескольких статьях указывалось на подозрительную активность либо на хакера который делает дамп памяти при помощи LSASS.
      Я до этого ни разу не сталкивался с вирусами и понятия не имею что делать, но несколько дней назад я попробовал зайти на своем ноутбуке в безопасный режим, никакой полезной информации я не получил из этого, но после выхода из режима и проверки журнала "Безопасность" я увидел приличное количество событий 4688. Через некоторое время после выхода из безопасного режима в журнале "Безопасность" появилось 3 события с неудачной попыткой сетевого входа в систему.
      Windows Defender ничего подозрительного не нашел. Проверка Malwarebytes обнаружила 8 нежелательных файлов, но 7 из них были связанны с торернтом и еще один с впном которым я давно не пользовался, все было помещено в карантин. После проверки я через проводник удалил все файлы связанные с торрентом. Далее я еще какое-то время проверял свой пк на вирусы, пробовал это делать с выключенным интернетом и с включенным, но больше Malwarebytes ничего не находил. Хотя сообщения в PowerShell об event id 4104 продолжали появляться.
      Информация из просмотра событий пока является единственным аргументом в пользу наличия вирусов, ибо изменений в работе пк вообще не было. Единственное что меня беспокоит, время от времени мой ноутбук отключается от домашнего интернета, происходит это либо когда пк переходит в спящий режим, либо само по себе. Отключения бывают по несколько раз за день, но может и вообще не быть, какого-то паттерна я не смог увидеть. И еще в диспетчере задач в автозагрузке есть 4 приложения которые никак не открываются и у них нет иконок, но я думаю это какие-то остатки файлов от удаления нерабочих впн, вряд ли это какое-то вредоносное по.
      У меня есть скриншоты из журналов "Безопасность" и "PowerShell" если нужно то могу прислать некоторые из них.
      Подскажите как мне найти вирус или убедиться что его нет?
      И еще, в порядке оформления запроса о помощи первым пунктом сказано, что нужно установить Kaspersky Virus Removal Tool или Dr.Web CureIt и провести проверку, но у меня уже стоит Malwarebytes. Мне нужно еще один антивирус скачивать или надо удалить Malwarebytes и установить нужный? Или ничего не делать пока?
      Буду безумно рад помощи! 
      CollectionLog-2026.01.31-19.07.zip Malwarebytes Отчет о проверке 2026-01-24 050309.txt
    • DexterVron
      [РЕШЕНО] Tool.BtcMine.2828 (просто удалить не выходит)
      Автор DexterVron
      Всем привет. Словил Tool.BtcMine.2828, антивирусом удалять не выходит.
    • Salieri
      Словил ратник без доступа к чему - либо, новый администратор
      Автор Salieri
      Приветствую, словил ратник, антивирусы не работают, сайты , ничего, пишу с другого пк дабы подать на помощь. Ниже логи
      CollectionLog-2026.01.30-14.37.zipShortcut.txtFRST.txtAddition.txt
    • Meiras
      Появился вирус Trojan:PowerShell/Boxter.HBZ!MTB
      Автор Meiras
×
×
  • Создать...