Поймал майнер tool.btcmine.2812

[Snedikk]

Добрый день! 
Поймал вирус-майнер tool.btcmine.2812. Недавно был похожий троян, но по рекомендациям с данного форума удалось его удалить посредством утилиты AVZ. Затем какое-то время все было хорошо. Сегодня решил проверить комп на наличие вирусов утилитой DrWeb CureIt и сия програмка показала наличие вредоносного червячка. Пробовал удалять его самой утилитой от DrWeb, но после перезагрузки он восстанавливается и все приходится делать снова. По инструкции просканировал комп и логи прикладываю к теме. Будьте добры помочь, люди. Заранее огромная благодарность

CollectionLog-2025.06.20-19.07.zip

Изменено 20 июня, 2025 пользователем Snedikk
Добавление скриншота.

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\utorrent\pro\nodeupdate.vbs','');
 QuarantineFile('C:\ProgramData\WinAIJService\WinAIJService.exe','');
 DeleteFile('C:\ProgramData\WinAIJService\WinAIJService.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Win AIJ Service','x64');
 DeleteSchedulerTask('Microsoft\Office\Office Persistent Activation');
 DeleteFile('C:\Users\Дмитрий\AppData\Roaming\utorrent\pro\nodeupdate.vbs','64');
 DeleteSchedulerTask('NodeUpdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Snedikk]

Все рекомандации выполнил. Направляю новый файл с логами. 

CollectionLog-2025.06.20-20.00.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Snedikk]

Рекомендацию выполнил. Архив прикладываю. 

FRST-Addition.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {DC5C0F1A-7868-4BD9-AD14-A746B008871D} - System32\Tasks\EdgeUpdate => C:\WINDOWS\system32\cmd.exe [376832 2025-06-13] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
2025-05-08 12:53 - 2025-06-20 19:08 - 000000000 ____D C:\ProgramData\WinAIJService
ShellIconOverlayIdentifiers: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
FirewallRules: [TCP Query User{A6CFFF0F-4554-43FB-8DF7-DE6B84EB5FB7}C:\games\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Allow) C:\games\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
FirewallRules: [UDP Query User{C95BA938-8C45-44B2-A2C4-32FB62C610C3}C:\games\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Allow) C:\games\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
FirewallRules: [TCP Query User{6051B53C-40FE-4B85-BC33-39BBE5F3BA31}C:\games\god of war\gow.exe] => (Allow) C:\games\god of war\gow.exe => Нет файла
FirewallRules: [UDP Query User{1072E133-DC49-4FBC-B81D-F2FF20FF2451}C:\games\god of war\gow.exe] => (Allow) C:\games\god of war\gow.exe => Нет файла
FirewallRules: [{70dd0dd1-0943-43cb-9fb2-40213ee8cd2f}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
FirewallRules: [{f3a5ad2f-de4c-49a6-b44c-d2142b10946c}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
FirewallRules: [TCP Query User{9B509FC0-71BE-43C9-9CA5-79BF1674ECCF}C:\users\дмитрий\appdata\roaming\zoom\bin\zoom.exe] => (Allow) C:\users\дмитрий\appdata\roaming\zoom\bin\zoom.exe => Нет файла
FirewallRules: [UDP Query User{30D319E8-C39D-4046-B039-495DCEBF0A24}C:\users\дмитрий\appdata\roaming\zoom\bin\zoom.exe] => (Allow) C:\users\дмитрий\appdata\roaming\zoom\bin\zoom.exe => Нет файла
FirewallRules: [{bd7de2bd-039a-48e9-8171-8150162374bd}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
FirewallRules: [{a0c13809-57f4-48e7-8a63-15c3124fa423}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
FirewallRules: [{c4c56df3-bfa5-43ce-9716-7341bceaa631}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
FirewallRules: [{400de7e3-9c68-4dd3-8754-375cce57ae0d}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
FirewallRules: [{4e6a2c37-961d-4ad3-9b67-a1986401e3e7}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
FirewallRules: [{df7707b6-64cd-4360-838a-feddc34f8cc2}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.