Перейти к содержанию
Правила раздела

[РЕШЕНО] Нужна помощь в удалении вируса Tool.btcmine.2794

Chel_Yaa

Автор Chel_Yaa
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\winaihservice\winaihservice.exe');
 TerminateProcessByName('c:\programdata\winaihservice\winservicenetworking.exe');
 QuarantineFile('c:\programdata\winaihservice\winaihservice.exe', '');
 QuarantineFile('c:\programdata\winaihservice\winservicenetworking.exe', '');
 DeleteFile('c:\programdata\winaihservice\winaihservice.exe', '32');
 DeleteFile('C:\ProgramData\WinAIHService\WinAIHService.exe', '64');
 DeleteFile('c:\programdata\winaihservice\winservicenetworking.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Win AIH Service', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Только предварительно скачайте актуальную версию отсюда.

Прикрепите новый CollectionLog.

 

Chel_Yaa

Chel_Yaa

Опубликовано
  • Автор
Опубликовано

Не получается перейти по ссылке для скачивания AutoLogger

Sandor

Sandor

Опубликовано
Опубликовано

При запросе "Скачать как" нужно выбрать с сервера comss.ru

Скинул также на облако

Sandor

Sandor

Опубликовано
Опубликовано

Как себя сейчас ведёт система?

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Chel_Yaa

Chel_Yaa

Опубликовано
  • Автор
Опубликовано

Здравствуйте, Только заметил сообщение. Нагрузки на гп больше нет спасибо вам 

FRST.txt Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Кое-что ещё дочистим.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3186180502-889403873-3227184309-1001\...\Run: [RiotClient] => C:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S3 WaaSMedicSvc; %systemroot%\system32\WaasMedicSvc.dll [X]
FirewallRules: [{e85baa3b-a7a3-432b-ba7d-991f906c1b08}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{1599468d-b9d9-4a4d-86a9-3a957db6ef8d}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{dcc72a4e-7383-43b6-af54-a16afe03a6c9}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{c5d0f49d-ebee-4ed3-b036-966096d20c18}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{235e4362-4490-4482-bc41-127183adc5fd}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{e553053e-bafb-4eaa-97f0-5486a267758d}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc]
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"Description"="@WaaSMedicSvcImpl.dll,-101"
"DisplayName"="@WaaSMedicSvcImpl.dll,-100"
"ErrorControl"=dword:00000001
"FailureActions"=hex:84,03,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,77,00,75,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,00
"LaunchProtected"=dword:00000002
"ObjectName"="LocalSystem"
"RequiredPrivileges"=hex(7):53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,\
  00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,\
  67,00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,\
  00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,\
  73,00,6f,00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,00,65,00,4f,00,77,00,6e,00,\
  65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,\
  79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,00,\
  65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,6f,00,72,00,65,\
  00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,\
  4d,00,61,00,6e,00,61,00,67,00,65,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,\
  00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"ServiceSidType"=dword:00000001
"Start"=dword:00000003
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  57,00,61,00,61,00,53,00,4d,00,65,00,64,00,69,00,63,00,53,00,76,00,63,00,2e,\
  00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="ServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

EndRegedit:
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически. Выполнение скрипта займёт некоторое время (до получаса). Дождитесь окончания.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Нет, читайте внимательно, это в FRST. Вставлять скопированный скрипт никуда не нужно, только скопировать, он будет взят из буфера обмена.

Sandor

Sandor

Опубликовано
Опубликовано

Ещё один небольшой скрипт выполните.

 

Отключите до перезагрузки антивирус.

  • Выделите следующий код: 
    Start::
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\ProgramData\WinAIHService\"
Remove-MpPreference -ExclusionProcess "powershell.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Amgasan
      Нужна помощь в удалении Tool.btcmine.2794.
      Автор Amgasan
      Обнаружил загрузку ГП на но утбуке, при проверке DoctorWeb CureIt выдало Tool.btcmine.2794, после перезагрузки снова восстанавливается как файл WinServiceNetworking.exe. 
      CollectionLog-2025.06.17-21.00.zip
    • DustyRainbow
      tool.btcmine.2794
      Автор DustyRainbow
      поймал вирус Tool.BtcMine.2794 при удалении ничего не помогает, нагружал видеокарту до 100 процентов, доктор веб не помогает, частично помог другой антивирус изза которого видеокарта не нагружается до 100, но в доктор вебе все равно показывает что он есть, помогите пожалуйста 
    • Durb
      [РЕШЕНО] Нужна помощь в удалении вируса Tool.BtcMine.2812
      Автор Durb
      Никак не могу удалить. Майнер возвращается после перезапуска системы
      CollectionLog-2025.07.18-15.25.zip
    • Xistoner
      Tool.BtcMine.2794. После удаления восстанавливается
      Автор Xistoner
      Проверил систему через dr.web, удалил. После перезапуска системы опять появляется и работает.
      Прикрепил логи AutoLogger
      CollectionLog-2025.06.26-18.43.zip
    • Waldo
      [РЕШЕНО] Майнер tool.btcmine.2794
      Автор Waldo
      Добрый день!
      Резко возросла нагрузка на ГПУ до 100%, в диспетчере задач обнаружил WinServiceNetworking, который и выдает всю эту нагрузку.
      При снятии задачи автоматически появляется снова несколько минут спустя.
      "Открыть расположение файла" привело в папку "C:\ProgramData\WinAIHServiceProgram Data"
      В ней 4 файла:
      OpenCL.dll
      WinNetService.dat
      WinAIHService
      WinServiceNetworking
       
      В двух последних CureIT обнаружил трояна и майнера (tool.btcmine.2794) соответственно.
       
      Лог от Autologger во вложении.
       
      CollectionLog-2025.06.26-19.28.zip
×
×
  • Создать...