помогите убрать NET:MINERS.URL

[kbhdfdz]

dr.web curelt обнаружил майнер, убрать не может. помогите, я вообще не разбираюсь. логи вроде прикрепила 

cureit.zip

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[kbhdfdz]

3 часа назад, thyrex сказал:

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

 

CollectionLog-2025.08.28-09.31.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[kbhdfdz]

вот, там оба файла

Logs.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [iTunesHelper] => "D:\iTunesHelper.exe" (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {2FCA6712-3C10-4B72-B4E4-ED38F0A803CD} - System32\Tasks\Microsoft\Office\Office Actions Server => C:\Program Files\Microsoft Office\root\VFS\ProgramFilesCommonX64\Microsoft Shared\Office16\ActionsServer\ActionsServer.exe  availabilitycheck (Нет файла)
Task: {67420AE3-DDBC-450A-9968-512738A27FDD} - System32\Tasks\Microsoft\Office\Office Background Push Maintenance => C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonx64\Microsoft Shared\Office16\opushutil.exe  /pushregistration (Нет файла)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
Task: {144239BB-2770-401F-87FD-E9A196D5931F} - System32\Tasks\OneDrive Startup Task-S-1-5-21-2166388123-806219655-2215698058-1001 => C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\OneDriveLauncher.exe  /startInstances (Нет файла)
Task: {BFBA9031-E201-4BA6-8847-73CA4BBE7AE5} - System32\Tasks\Repairing Yandex Browser update service => C:\Program Files (x86)\Yandex\YandexBrowser\23.9.3.948\service_update.exe  --repair (Нет файла)
Task: {11F68C2C-4E40-4C86-B284-57C3F07F6A4C} - System32\Tasks\System update for Yandex Browser => C:\Program Files (x86)\Yandex\YandexBrowser\23.9.3.948\service_update.exe  --run-as-launcher (Нет файла)
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1474560 2025-08-11] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [98304 2025-01-08] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [143360 2025-08-13] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [94208 2025-08-13] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [181120 2025-08-13] (Microsoft Windows -> Корпорация Майкрософт)
S2 discordfix_zapret; cmd.exe /c "D:\дискорд\pre-configs\general (ALT2).bat" [X]
U5 3d4fd466a0;  <==== ВНИМАНИЕ: Заблокированная служба
C:\Windows\system32\Drivers\3d4fd466a0.sys
CustomCLSID: HKU\S-1-5-21-2166388123-806219655-2215698058-1001_Classes\CLSID\{1F80F4F0-5D28-40D3-A252-4D3662D5E4BA}\localserver32 -> "C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2166388123-806219655-2215698058-1001_Classes\CLSID\{3A308EFE-656D-46BB-9963-0A41C0D6BCA2}\localserver32 -> "C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2166388123-806219655-2215698058-1001_Classes\CLSID\{544c4c52-de0b-4d14-9510-21745381d5ca}\localserver32 -> "C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2166388123-806219655-2215698058-1001_Classes\CLSID\{7AE67172-9863-42B1-8750-2B85084FD8E8}\localserver32 -> "C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2166388123-806219655-2215698058-1001_Classes\CLSID\{9BE266B4-A97C-486E-B993-EAEBAA798D69}\localserver32 -> "C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2166388123-806219655-2215698058-1001_Classes\CLSID\{F37369D9-1C22-40A0-A997-0B4D5F7B6637}\localserver32 -> "C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\FileCoAuth.exe" => Нет файла
Folder: C:\Windows\system32\config\systemprofile
Folder: C:\ProgramData
FirewallRules: [{A1CBBFCC-B303-40C2-9304-1400EE266B2C}] => (Allow) D:\iTunes.exe => Нет файла
FirewallRules: [TCP Query User{5BCD6908-0097-48C9-869D-7EB27BE079F3}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.46.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Allow) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.46.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
FirewallRules: [UDP Query User{6D3EBAE7-8265-4ED2-80B3-635638D7AC07}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.46.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Allow) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.46.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-24H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

[kbhdfdz]

сейчас сделаю это:

19 часов назад, thyrex сказал:

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-24H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

 

Fixlog_29-08-2025 18.25.20.txt

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Folder: C:\ProgramData\yzksdkbakpnl
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[kbhdfdz]

Fixlog_30-08-2025 19.49.34.txt

[thyrex]

Что сейчас с проблемой?

[kbhdfdz]

вроде больше не находит вирус. посмотрю как будет дальше работать ноут. спасибо огромное

 

[thyrex]

Папку C:\ProgramData\yzksdkbakpnl удалите вручную.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.