[РЕШЕНО] подцепил вирус майнер Tool.BtcMine.2780

[dmitriiytkin10iz10]

пробовал удалить через Dr Web но он не удалился а винду сносить не хочется нужна помощь

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[dmitriiytkin10iz10]

здравствуйте вроде бы сделал то что надо былоCollectionLog-2025.06.02-19.58.zip

[thyrex]

Прикрепите архив еще раз. Невозможно скачать.

[dmitriiytkin10iz10]

41 минуту назад, thyrex сказал:

Прикрепите архив еще раз. Невозможно скачать.

также если не ошибаюсь нашлось два трояна BackDoor.QuasarNET.3 помимо майнера

CollectionLog-2025.06.02-21.20.zip

[thyrex]

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Дима\AppData\Local\temp\zs-OFM728.tmp\update.exe','');
 QuarantineFile('C:\Users\Дима\AppData\Local\temp\zs-OFM728.tmp\updateEdge.exe','');
 QuarantineFile('C:\Users\Дима\AppData\Roaming\DriversUpdate\Runtime_Broker.exe','');
 QuarantineFile('C:\Users\Дима\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','');
 TerminateProcessByName('c:\users\дима\appdata\local\microsoft\edge\system\updater.exe');
 QuarantineFile('c:\users\дима\appdata\local\microsoft\edge\system\updater.exe','');
 TerminateProcessByName('c:\users\дима\appdata\roaming\driversupdate\runtimebroker.exe');
 QuarantineFile('c:\users\дима\appdata\roaming\driversupdate\runtimebroker.exe','');
 DeleteFile('c:\users\дима\appdata\roaming\driversupdate\runtimebroker.exe','32');
 DeleteFile('c:\users\дима\appdata\local\microsoft\edge\system\updater.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\MUI\RPRemove');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
 DeleteFile('C:\Users\Дима\AppData\Roaming\DriversUpdate\Runtime_Broker.exe','64');
 DeleteFile('C:\Users\Дима\AppData\Local\temp\zs-OFM728.tmp\updateEdge.exe','64');
 DeleteFile('C:\Users\Дима\AppData\Local\temp\zs-OFM728.tmp\update.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\ApplicationData\CleanupTemporaryStaticFiles');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[dmitriiytkin10iz10]

карантин отправил на форму отправки вот логи после перезагрузки

CollectionLog-2025.06.02-21.46.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[dmitriiytkin10iz10]

вот архив с файлами

файлы с recovery tool.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Task: {D204FA89-ACAC-46EF-BE68-F6839202F494} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2554438606-3391737165-3557576543-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {6E688570-AB8C-4E5A-AD30-2FCABC06210D} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2554438606-3391737165-3557576543-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
2025-05-24 17:00 - 2025-06-02 21:38 - 000000000 __SHD C:\Users\Дима\AppData\Roaming\DriversUpdate
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\All Users:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\Users\Все пользователи:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\ProgramData\Application Data:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iLok License Manager.lnk:FD94631329 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Slate Digital Connect.lnk:4ED0E3D133 [3442]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8738]
FirewallRules: [UDP Query User{CD3845B3-62AE-42B9-8EAA-57A91978BAE1}C:\program files (x86)\steam\steamapps\common\marvelrivals\marvelgame\marvel\binaries\win64\marvel-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\marvelrivals\marvelgame\marvel\binaries\win64\marvel-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{14B18EBB-CDB3-4208-80B7-555FF00FDE76}C:\program files (x86)\steam\steamapps\common\marvelrivals\marvelgame\marvel\binaries\win64\marvel-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\marvelrivals\marvelgame\marvel\binaries\win64\marvel-win64-shipping.exe => Нет файла
FirewallRules: [{07200703-829F-4C74-B617-809F933183E7}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{05FDE8AB-2780-4E1A-9B62-B6C19180BE60}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [UDP Query User{14739BD7-2B15-4676-8C58-071B5811F0DE}C:\users\дима\appdata\local\discord\app-1.0.9170\discord.exe] => (Block) C:\users\дима\appdata\local\discord\app-1.0.9170\discord.exe => Нет файла
FirewallRules: [TCP Query User{8AED5D8B-3473-493C-9948-3A0C4DBD7511}C:\users\дима\appdata\local\discord\app-1.0.9170\discord.exe] => (Block) C:\users\дима\appdata\local\discord\app-1.0.9170\discord.exe => Нет файла
FirewallRules: [{7c05419a-817f-41ab-8dc4-c48ef861d81b}] => (Allow) C:\LDPlayer\LDPlayer9\dnplayer.exe => Нет файла
FirewallRules: [{e9d99d4c-a66d-40ca-a62c-309480c051cd}] => (Allow) C:\Program Files\ldplayer9box\VBoxNetNAT.exe => Нет файла
FirewallRules: [{3b0c93f5-f507-4d18-b3ef-4aa6ad5dfa66}] => (Allow) C:\Program Files\ldplayer9box\Ld9BoxHeadless.exe => Нет файла
FirewallRules: [UDP Query User{0C242D4A-6A8C-488F-A40A-39CF56B57DDD}C:\users\дима\appdata\local\discord\app-1.0.9155\discord.exe] => (Allow) C:\users\дима\appdata\local\discord\app-1.0.9155\discord.exe => Нет файла
FirewallRules: [TCP Query User{2ABA93D2-D005-40B3-9A9C-52A97F50462B}C:\users\дима\appdata\local\discord\app-1.0.9155\discord.exe] => (Allow) C:\users\дима\appdata\local\discord\app-1.0.9155\discord.exe => Нет файла
FirewallRules: [UDP Query User{B9420FD6-2FBD-4CEE-B233-ACC4C92D336A}C:\program files\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe] => (Allow) C:\program files\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{D367BFD3-22DB-447D-BB73-E5C2A95A5DF9}C:\program files\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe] => (Allow) C:\program files\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{26056655-91DD-4D84-8618-28B0BEFEC860}C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [TCP Query User{6098B747-470C-4D76-879D-A4A1A65862CE}C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [UDP Query User{0A68C594-61A8-4E32-B922-16DE0F444661}C:\users\дима\riot games\riot client\riotclientelectron\riot client.exe] => (Block) C:\users\дима\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
FirewallRules: [TCP Query User{C3FA45AB-EDD3-4A47-BD82-318DE4212A53}C:\users\дима\riot games\riot client\riotclientelectron\riot client.exe] => (Block) C:\users\дима\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
FirewallRules: [UDP Query User{AE1B90C8-8145-4505-845A-B90260782E7C}C:\program files (x86)\steam\steamapps\common\cry of fear\cof.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cry of fear\cof.exe => Нет файла
FirewallRules: [TCP Query User{7CB4BBEE-B587-40A6-AD23-938A4575185C}C:\program files (x86)\steam\steamapps\common\cry of fear\cof.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cry of fear\cof.exe => Нет файла
FirewallRules: [UDP Query User{F2E212A3-BCBF-414D-9059-25BC510614CF}C:\program files (x86)\steam\steamapps\common\call of duty hq\cod22\cod22-cod.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\call of duty hq\cod22\cod22-cod.exe => Нет файла
FirewallRules: [TCP Query User{F42BD16F-C569-4BA2-9AF7-4E8F589342D4}C:\program files (x86)\steam\steamapps\common\call of duty hq\cod22\cod22-cod.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\call of duty hq\cod22\cod22-cod.exe => Нет файла
FirewallRules: [UDP Query User{054CF8E3-DE7F-45EF-95D6-0F3222BDA4B7}C:\program files (x86)\steam\steamapps\common\tmodloader\dotnet\6.0.14\dotnet.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\tmodloader\dotnet\6.0.14\dotnet.exe => Нет файла
FirewallRules: [TCP Query User{F5D8042B-9589-4B65-B7A2-DB01D57A386D}C:\program files (x86)\steam\steamapps\common\tmodloader\dotnet\6.0.14\dotnet.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\tmodloader\dotnet\6.0.14\dotnet.exe => Нет файла
FirewallRules: [UDP Query User{AC657848-57B3-46F3-8B97-43F47B94859E}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{10C667C8-6486-44D5-9FE3-81A78E9D29E6}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [UDP Query User{C2B99DEE-147B-443A-AD87-FCEC9A686A12}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [TCP Query User{9C1AED67-7CE7-47A7-8A19-FDDD1634B178}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [UDP Query User{FC32C820-E18D-413D-9CFE-967088DBF5EA}C:\users\дима\appdata\local\programs\opera gx\opera.exe] => (Allow) C:\users\дима\appdata\local\programs\opera gx\opera.exe => Нет файла
FirewallRules: [TCP Query User{886C7D35-4064-4AC5-A0C8-A0DC9F0A6E4A}C:\users\дима\appdata\local\programs\opera gx\opera.exe] => (Allow) C:\users\дима\appdata\local\programs\opera gx\opera.exe => Нет файла
FirewallRules: [{4883257D-53A7-44C1-B2D5-8EC70BDEAFB0}] => (Allow) C:\Program Files\DeskIn\DeskIn.exe => Нет файла
FirewallRules: [{2549FE13-B2E5-4E0D-AFCD-C08F38DD67EC}] => (Allow) C:\Program Files\DeskIn\DeskIn.exe => Нет файла
FirewallRules: [{D2B4401A-83DA-4AB6-A8EF-D244AB798A94}] => (Allow) C:\Program Files\DeskIn\DeskIn_Service.exe => Нет файла
FirewallRules: [{E427D5D1-310D-4349-9A56-59F3E9AC68C2}] => (Allow) C:\Program Files\DeskIn\DeskIn_Service.exe => Нет файла
FirewallRules: [{50E7D1C7-CB66-4339-8491-50853080A00C}] => (Allow) C:\Program Files\DeskIn\DeskIn_Session.exe => Нет файла
FirewallRules: [{FD856EE5-155F-4527-A315-DE0889EAAEB5}] => (Allow) C:\Program Files\DeskIn\DeskIn_Session.exe => Нет файла
FirewallRules: [{20AC9227-5A22-406F-A49C-91172EE1B0D8}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Strinova\Launcher\Strinova.exe => Нет файла
FirewallRules: [{F200FAEF-E50A-41D7-B39B-AE81655941AE}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Strinova\Launcher\Strinova.exe => Нет файла
FirewallRules: [TCP Query User{82BC089E-E4AB-4D27-AACA-001875D977D1}C:\program files (x86)\steam\steamapps\common\code vein\codevein\binaries\win64\codevein-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\code vein\codevein\binaries\win64\codevein-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{A975B881-9A59-49B8-882B-A651739215F3}C:\program files (x86)\steam\steamapps\common\code vein\codevein\binaries\win64\codevein-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\code vein\codevein\binaries\win64\codevein-win64-shipping.exe => Нет файла
FirewallRules: [{C0E00881-1DCB-4915-999A-396C11B8A958}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{4024C3B3-8152-41BA-8A56-3F571D37B24C}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{531DE804-C872-46E2-B548-E4B3D7AC8436}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [{8543BD5B-34F1-480A-A18C-915A794D279D}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Нет файла
FirewallRules: [TCP Query User{6C365AE8-1335-4F27-B474-3209FA7BF2FF}C:\program files\epic games\zenlesszonezero\games\zenlesszonezero game\zenlesszonezero.exe] => (Allow) C:\program files\epic games\zenlesszonezero\games\zenlesszonezero game\zenlesszonezero.exe => Нет файла
FirewallRules: [UDP Query User{83258C99-262D-4CFC-BB39-1AD3210BA836}C:\program files\epic games\zenlesszonezero\games\zenlesszonezero game\zenlesszonezero.exe] => (Allow) C:\program files\epic games\zenlesszonezero\games\zenlesszonezero game\zenlesszonezero.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[dmitriiytkin10iz10]

вот фикслог

Fixlog.txt

[thyrex]

Проблема решена?

[dmitriiytkin10iz10]

16 минут назад, thyrex сказал:

Проблема решена?

да, спасибо вам огромное

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  
• Прикрепите этот файл в своем следующем сообщении.

[dmitriiytkin10iz10]

3 минуты назад, thyrex сказал:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

 

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

вот файл с проверки

SecurityCheck.txt