Перейти к содержанию
Правила раздела

tool.btcmine.2794 не удаляется

trolltunga

Автор trolltunga
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\CACService\CACServices.exe','');
 DeleteFile('C:\ProgramData\CACService\CACServices.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CAC Service','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

trolltunga

trolltunga

Опубликовано
  • Автор
Опубликовано

карантин отправил 2025.09.09_quarantine_658afcd36cabd10ab0676620675677a6.7z

новые логи прикрепил CollectionLog-2025.09.09-14.00.zip

CollectionLog-2025.09.09-14.00.zip

просканировал курейтом еще раз, вирус не обнаружился, надеюсь в логах тоже всё чисто

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-2045102813-983716603-676509332-1001\...\Run: [utweb] => "C:\Users\LZRD\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Нет файла)
HKU\S-1-5-21-2045102813-983716603-676509332-1001\...\Run: [AdobeBridge] => [X]
ProxyEnable: [S-1-5-21-2045102813-983716603-676509332-1001] => Proxy включён
ProxyServer: [S-1-5-21-2045102813-983716603-676509332-1001] => hxxp://127.0.0.1:12334
ManualProxies: 1hxxp://127.0.0.1:12334 <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjmhlim [0]
FirewallRules: [TCP Query User{BFB563ED-1058-4A4E-B651-96C808F7D20B}C:\programdata\cacservice\cacservices.exe] => (Block) C:\programdata\cacservice\cacservices.exe => Нет файла
FirewallRules: [UDP Query User{B81E692E-6814-49B6-8684-2A1E870601B1}C:\programdata\cacservice\cacservices.exe] => (Block) C:\programdata\cacservice\cacservices.exe => Нет файла
FirewallRules: [{3d7b1308-5a15-48fb-aab5-13916f954708}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{4b4b42f7-aa92-4034-b412-8721afaed7d6}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
StartPowershell:
Remove-MpPreference -ExclusionProcess "powershell.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\CACService"
EndPowerShell:
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
trolltunga

trolltunga

Опубликовано
  • Автор
Опубликовано
12 минут назад, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-2045102813-983716603-676509332-1001\...\Run: [utweb] => "C:\Users\LZRD\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Нет файла)
HKU\S-1-5-21-2045102813-983716603-676509332-1001\...\Run: [AdobeBridge] => [X]
ProxyEnable: [S-1-5-21-2045102813-983716603-676509332-1001] => Proxy включён
ProxyServer: [S-1-5-21-2045102813-983716603-676509332-1001] => hxxp://127.0.0.1:12334
ManualProxies: 1hxxp://127.0.0.1:12334 <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjmhlim [0]
FirewallRules: [TCP Query User{BFB563ED-1058-4A4E-B651-96C808F7D20B}C:\programdata\cacservice\cacservices.exe] => (Block) C:\programdata\cacservice\cacservices.exe => Нет файла
FirewallRules: [UDP Query User{B81E692E-6814-49B6-8684-2A1E870601B1}C:\programdata\cacservice\cacservices.exe] => (Block) C:\programdata\cacservice\cacservices.exe => Нет файла
FirewallRules: [{3d7b1308-5a15-48fb-aab5-13916f954708}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{4b4b42f7-aa92-4034-b412-8721afaed7d6}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
StartPowershell:
Remove-MpPreference -ExclusionProcess "powershell.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\CACService"
EndPowerShell:
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 


 

прошу прощения, я не понял, куда нужно вставить код из 1 пункта? 

thyrex

thyrex

Опубликовано
Опубликовано

Продолжение инструкции написано после скрипта. Из него следует, что программа возьмет скопированное из буфера обмена.

trolltunga

trolltunga

Опубликовано
  • Автор
Опубликовано
В 10.09.2025 в 21:34, thyrex сказал:

Продолжение инструкции написано после скрипта. Из него следует, что программа возьмет скопированное из буфера обмена.

 

Fixlog.txt

trolltunga

trolltunga

Опубликовано
  • Автор
Опубликовано
10 часов назад, thyrex сказал:

Проблема решена?

Да, спасибо большое!

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
    • Андрей Востоков
      [РЕШЕНО] Помогите удалить майнер
      Автор Андрей Востоков
      Добрый Вечер! Не получается удалить майнер, после проверки через Malwarebytes программа удаляет майнер, после чего тот устанавливается снова и так каждые 5-10 минут и после перезапуска системы. Отчет по логам и отчет Malwarebytes прилагается 
      CollectionLog-2026.02.11-16.12.zip Malwarebytes Отчет о проверке 2026-02-11 111923.txt
    • Vamp1ri
      [РЕШЕНО] Подхватил майнер
      Автор Vamp1ri
      Подхватил майнер, adwcleaner находит вот это, но удалить не может, пк грузится и тормозит
    • shvedkov_vladimir
      Подхватил майнер. Хотел вычистить сам, но столкнулся с БСОДами
      Автор shvedkov_vladimir
      Доброго дня, уважаемые друзья!  Подхватил вирус.  Вычищал его долго и упорно, но хвосты остались видимо где то. Тепрь ПК или намертво зависает, или падает по БСОДу. Прогнал все через АВЗ и ФРСТ.  С написанием скриптов не понимаю--что надо сделать далее)  Прошу помощи... 
      AV_block_remove_2026.02.06-18.08.log FRST.txt
    • Артёмккк
      Скачал майнер
      Автор Артёмккк
      Давно хотел скачать AIDA64 скачал просто с браузера скачал запустил скачалось танки и ТД короче вирусняк-майнер потом скачал доктор веб Касперский сканировал выявили вредоносные файлы потом я сразу их удалил через антивирусники не помогло потом решил переустановить винду переустановил тоже не помогло помогите пожалуйста 
×
×
  • Создать...