[РЕШЕНО] Нужна помощь в удалении вируса Tool.btcmine.2794

[Chel_Yaa]

Заметил что ноутбук начал шуметь во время простоя также видеокарта забита на 100%

 

 

CollectionLog-2025.06.16-20.26.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\winaihservice\winaihservice.exe');
 TerminateProcessByName('c:\programdata\winaihservice\winservicenetworking.exe');
 QuarantineFile('c:\programdata\winaihservice\winaihservice.exe', '');
 QuarantineFile('c:\programdata\winaihservice\winservicenetworking.exe', '');
 DeleteFile('c:\programdata\winaihservice\winaihservice.exe', '32');
 DeleteFile('C:\ProgramData\WinAIHService\WinAIHService.exe', '64');
 DeleteFile('c:\programdata\winaihservice\winservicenetworking.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Win AIH Service', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Только предварительно скачайте актуальную версию отсюда.

Прикрепите новый CollectionLog.

 

[Chel_Yaa]

Не получается перейти по ссылке для скачивания AutoLogger

[Sandor]

Пробуйте эту:

https://www.comss.ru/page.php?id=1812

[Chel_Yaa]

Не получается(

 

а все скачал

 

CollectionLog-2025.06.16-22.01.zip

[Sandor]

При запросе "Скачать как" нужно выбрать с сервера comss.ru

Скинул также на облако

[Chel_Yaa]

CollectionLog-2025.06.16-22.15.zip

 

А что дальше делать?

[Sandor]

Как себя сейчас ведёт система?

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Chel_Yaa]

Здравствуйте, Только заметил сообщение. Нагрузки на гп больше нет спасибо вам 

FRST.txt Addition.txt

[Sandor]

Кое-что ещё дочистим.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3186180502-889403873-3227184309-1001\...\Run: [RiotClient] => C:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Нет файла)
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  S3 WaaSMedicSvc; %systemroot%\system32\WaasMedicSvc.dll [X]
  FirewallRules: [{e85baa3b-a7a3-432b-ba7d-991f906c1b08}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
  FirewallRules: [{1599468d-b9d9-4a4d-86a9-3a957db6ef8d}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
  FirewallRules: [{dcc72a4e-7383-43b6-af54-a16afe03a6c9}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
  FirewallRules: [{c5d0f49d-ebee-4ed3-b036-966096d20c18}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
  FirewallRules: [{235e4362-4490-4482-bc41-127183adc5fd}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
  FirewallRules: [{e553053e-bafb-4eaa-97f0-5486a267758d}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
  StartRegedit:
  Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc]
  "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
  "Description"="@WaaSMedicSvcImpl.dll,-101"
  "DisplayName"="@WaaSMedicSvcImpl.dll,-100"
  "ErrorControl"=dword:00000001
  "FailureActions"=hex:84,03,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
    00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
  "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
    74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
    00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
    6b,00,20,00,77,00,75,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,00
  "LaunchProtected"=dword:00000002
  "ObjectName"="LocalSystem"
  "RequiredPrivileges"=hex(7):53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,\
    00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,\
    67,00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,\
    00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,\
    73,00,6f,00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
    00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,00,65,00,4f,00,77,00,6e,00,\
    65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
    00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,\
    79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
    00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,00,\
    65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,6f,00,72,00,65,\
    00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,\
    4d,00,61,00,6e,00,61,00,67,00,65,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,\
    00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
  "ServiceSidType"=dword:00000001
  "Start"=dword:00000003
  "Type"=dword:00000020
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc\Parameters]
  "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
    00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
    57,00,61,00,61,00,53,00,4d,00,65,00,64,00,69,00,63,00,53,00,76,00,63,00,2e,\
    00,64,00,6c,00,6c,00,00,00
  "ServiceDllUnloadOnStop"=dword:00000001
  "ServiceMain"="ServiceMain"
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WaaSMedicSvc\Security]
  "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
    00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
    00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
    05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
    20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
    01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
  
  EndRegedit:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически. Выполнение скрипта займёт некоторое время (до получаса). Дождитесь окончания.

Подробнее читайте в этом руководстве.

[Chel_Yaa]

это в AVZ?

 

[Sandor]

Нет, читайте внимательно, это в FRST. Вставлять скопированный скрипт никуда не нужно, только скопировать, он будет взят из буфера обмена.

[Chel_Yaa]

Fixlog.txt

[Sandor]

Ещё один небольшой скрипт выполните.

 

Отключите до перезагрузки антивирус.

• Выделите следующий код:

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WinAIHService\"
  Remove-MpPreference -ExclusionProcess "powershell.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Chel_Yaa]

Fixlog.txt