Не получается удалить Trojan.BitCoinMiner

[kastorka]

Здравствуйте! В последнее время заметила, как резко фпс в играх упал с 200 до 70(компьютеру от силы месяц). Скачала malwarebytes, который выдал мне такую красоту:

 

 

 Антивирус также выдал какой-то PUM.Optional.DisableMRT. Помещала все 4 обнаружения в карантин, пыталась удалить, но антивирус все равно продолжает их находить. После самостоятельных проб на удачу почитала посты на этом форуме, но все равно не получается. Прошу, помогите🙏 (логи прикреплены)

 

 

 

CollectionLog-2025.11.02-21.43.zip

[thyrex]

Здравствуйте.

 

Загрузитесь в безопасном режиме.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\tfkxupgodbpx\cderspzpcngq.exe','');
 SetServiceStart('WCFVBXSG', 4);
 DeleteService('WCFVBXSG');
 DeleteFile('C:\ProgramData\tfkxupgodbpx\cderspzpcngq.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Загрузитесь в обычном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[kastorka]

скрипты сработали, отправила quarantine.7z с помощью формы отправки карантина. Также прикрепила новые логи:

CollectionLog-2025.11.02-22.53.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[kastorka]

доброго времени суток! Вот архив с нужными отчетами

FRSTandAdditionZIP archive.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2271080788-390409999-6431440-1001\...\Run: [AMDNoiseSuppression] => "C:\Windows\system32\AMD\ANR\AMDNoiseSuppression.exe" (Нет файла)
HKU\S-1-5-21-2271080788-390409999-6431440-1001\...\Run: [MediaGet2] => "C:\Users\clueless\MediaGet2\mediaget.exe" --minimized (Нет файла)
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2025-09-28] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1534976 2025-09-28] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [583168 2025-09-28] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [434176 2025-09-28] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3441152 2025-09-28] (Microsoft Windows -> Microsoft Corporation)
2025-11-01 00:45 - 2025-11-02 22:43 - 000000000 ____D C:\ProgramData\tfkxupgodbpx
HKLM\...\batfile\shell\open\command: "C:\Windows\System32\cmd.exe" /c "%1" %* <==== ВНИМАНИЕ
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
EndPowerShell:
HKU\S-1-5-21-2271080788-390409999-6431440-1001\...\StartupApproved\Run: => "MediaGet2"
FirewallRules: [TCP Query User{C8AF860B-8500-4D98-8350-2FFBD3305ADA}C:\users\clueless\mediaget2\mediaget.exe] => (Allow) C:\users\clueless\mediaget2\mediaget.exe => Нет файла
FirewallRules: [UDP Query User{E8B9299B-5AA8-491B-AD4A-B12E2BEB54F7}C:\users\clueless\mediaget2\mediaget.exe] => (Allow) C:\users\clueless\mediaget2\mediaget.exe => Нет файла
FirewallRules: [{8DF6885C-B59C-44C5-98F8-26FDDAF1276D}] => (Block) C:\users\clueless\mediaget2\mediaget.exe => Нет файла
FirewallRules: [{B2522948-0B49-4DDA-83E7-54F54D928D33}] => (Block) C:\users\clueless\mediaget2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{3C843BEF-3108-4F2D-AE04-1DA632A4F11A}C:\users\clueless\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\clueless\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [UDP Query User{4E164B02-C707-4557-B3DB-2A8F6FDBB186}C:\users\clueless\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\clueless\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [{B16AD618-C12D-48D2-B4A0-EB1476D6097B}] => (Block) C:\users\clueless\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [{635980AC-17A7-4408-8E20-28FEFBFF93B6}] => (Block) C:\users\clueless\mediaget2\qtwebengineprocess.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

[kastorka]

fixlog.txt прикреплен, все reg-файлы скачаны, внесение информации подтверждено. Единственное только то, что моментами писало "не удается импортировать, не все данные были успешно записаны в реестр. Некоторые разделы открыты системой или другими процессами, либо у вас недостаточно привилегий для этой операции" 

Fixlog.txt

[thyrex]

Проблема решена?

[kastorka]

Да! Бесконечно вам благодарна за помощь!❤

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[kastorka]

вот

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
AMD Software v.25.8.1 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.141.0.3537.99 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
WinRAR 7.12 beta 1 (64-bit) v.7.12.1 Внимание! Скачать обновления
WinRar 5.9.16 v.5.9.16 Внимание! Скачать обновления
Discord v.1.0.9210 Внимание! Скачать обновления
Yandex v.25.8.5.983 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.141.0.7390.125 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На этом закончим.