[РЕШЕНО] Помогите удалить tool.btcmine.2794

[Dmdozors1982]

Добрый день, помогите удалить майнер tool.btcmine.2794. Обезвредил его с помощью Curelt, сделал лог, прикрепил

CollectionLog-2025.07.09-21.11.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 TerminateProcessByName('c:\programdata\winaijservice\winaijservice.exe');
 QuarantineFile('c:\programdata\winaijservice\winaijservice.exe','');
 DeleteFile('c:\programdata\winaijservice\winaijservice.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Win AIJ Service','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Dmdozors1982]

 

CollectionLog-2025.07.09-22.52.zip

 

файл отправил, спасибо вам ОГРОМНОЕ!!!

Изменено 9 июля пользователем Dmdozors1982

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Dmdozors1982]

файл отправил, спасибо вам ОГРОМНОЕ!!!

FRST.7z

готово

 

Изменено 9 июля пользователем Dmdozors1982

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;privacy-automaticfiledownloads;privacy-feedback
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2234244878-2043269633-2962734613-1001\...\Run: [ASRock A-Tuning] => [X]
HKU\S-1-5-21-2234244878-2043269633-2962734613-1001\...\Run: [ASRockRuefi] => [X]
HKU\S-1-5-21-2234244878-2043269633-2962734613-1001\...\Run: [YandexBrowserAutoLaunch_28292D415E1F3BDD1F3E0762CF150E5B] => "C:\Users\Папа\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart --zombie-wakeup (Нет файла)
IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{310976F5-ABDF-4EC7-9F0A-0A1CFA08F2DF}E:\софт\counter-strike - global offensive [1.17.4.0]\counter-strike - global offensive\csgo.exe] => (Allow) E:\софт\counter-strike - global offensive [1.17.4.0]\counter-strike - global offensive\csgo.exe => Нет файла
FirewallRules: [UDP Query User{9E14BCAA-28A6-43DF-9E8C-90E2AB51A68B}E:\софт\counter-strike - global offensive [1.17.4.0]\counter-strike - global offensive\csgo.exe] => (Allow) E:\софт\counter-strike - global offensive [1.17.4.0]\counter-strike - global offensive\csgo.exe => Нет файла
C:\ProgramData\WinAIJService
FirewallRules: [{a37f7b50-e6e4-4f04-a4f4-3fdb9d03afb1}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
FirewallRules: [{a526e286-0e97-453b-9487-a54ecee7c5b8}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Dmdozors1982]

готово

Fixlog.txt

[thyrex]

Проблема решена?

[Dmdozors1982]

Спасибо вам большущее от души, прям спасли👍

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Dmdozors1982]

Добрый день

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
NVIDIA App 11.0.4.159 v.11.0.4.159 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Яндекс.Диск v.3.2.44.5094 Внимание! Скачать обновления
7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 7.11 (64-разрядная) v.7.11.0 Внимание! Скачать обновления
Telegram Desktop v.5.15.4 Внимание! Скачать обновления
Yandex v.25.6.0.2370 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

На этом закончим.

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".