Помощь в удалении вируса Tool.BtcMine.2823

[Alena__]

Здравствуйте! Помогите, пожалуйста, удалить вирус Tool.BtcMine2823. После удаления снова появляется после включения ноутбука.

CollectionLog-2025.11.04-20.51.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\System32\u883349.dll','');
 TerminateProcessByName('c:\windows\system32\wsvcz\u524063.exe');
 QuarantineFile('c:\windows\system32\wsvcz\u524063.exe','');
 DeleteFile('c:\windows\system32\wsvcz\u524063.exe','32');
 DeleteFile('C:\Windows\System32\u883349.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Alena__]

Добрый день! Спасибо большое, отправляю новые логи.

CollectionLog-2025.11.05-16.59.zip

Карантин отправила через форму.
Имя карантин-а(ов) сообщите в теме:
2025.11.05_quarantine_464e00a2478843c4ebe4e08c774d3c77.7z

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Alena__]

Downloads.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-1594065966-2611902639-1420163649-1001\...\Run: [YandexBrowserAutoLaunch_5C3B6F6BAB5E88897874761660DA6194] => "C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart --zombie-wakeup (Нет файла)
HKU\S-1-5-21-1594065966-2611902639-1420163649-1001\...\MountPoints2: {a4990b9e-1b2d-11ee-97b8-7c5079736b57} - "F:\SISetup.exe" 
Task: {E39DDA57-A121-45A2-9584-E3184508C886} - System32\Tasks\Opera scheduled Autoupdate 1756652325 => C:\Users\Анатолий\AppData\Local\Programs\Opera\autoupdate\opera_autoupdate.exe  --scheduledtask --bypasslauncher $(Arg0) (Нет файла)
Task: {85F6EB2E-24D0-4D75-B6A0-3B0E3B89D10E} - System32\Tasks\Repairing Yandex Browser update service => C:\Program Files (x86)\Yandex\YandexBrowser\21.2.1.108\service_update.exe  --repair (Нет файла)
Task: {E902B714-AC47-4A6D-A3F1-885823ED576E} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\21.2.1.108\service_update.exe  --repair (Нет файла)
Folder: C:\Windows\system32\wsvcz
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Анатолий\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Анатолий\AppData\Roaming:iSpring Solutions [128]
FirewallRules: [TCP Query User{10D88760-1B87-4A88-A2E1-EF5FBBCEB6E0}C:\users\анатолий\downloads\anydesk.exe] => (Block) C:\users\анатолий\downloads\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{9CAD8961-8160-49BE-B328-DA3F45D7DCCD}C:\users\анатолий\downloads\anydesk.exe] => (Block) C:\users\анатолий\downloads\anydesk.exe => Нет файла
FirewallRules: [{3A854529-4A8A-4BCA-A2A2-12CC996A6770}] => (Allow) C:\Program Files\Huawei\PCManager\HWVCR.exe => Нет файла
FirewallRules: [TCP Query User{24BE1AEF-92C3-49B4-AABB-A59B6A20685A}C:\users\анатолий\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\анатолий\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [UDP Query User{909BB65C-98FE-4680-AD43-2F5D847A7CB5}C:\users\анатолий\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\анатолий\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [TCP Query User{BEEBF3A3-6DDB-45E9-8CB6-8A834462435B}C:\users\анатолий\downloads\anydesk (2).exe] => (Allow) C:\users\анатолий\downloads\anydesk (2).exe => Нет файла
FirewallRules: [UDP Query User{70365165-4C80-499B-ADA5-CBC4B201EFE3}C:\users\анатолий\downloads\anydesk (2).exe] => (Allow) C:\users\анатолий\downloads\anydesk (2).exe => Нет файла
FirewallRules: [TCP Query User{C1AA1792-0A40-40A8-940A-8F0A1666431A}C:\users\анатолий\downloads\anydesk (3).exe] => (Allow) C:\users\анатолий\downloads\anydesk (3).exe => Нет файла
FirewallRules: [UDP Query User{2B0A7EF3-4A3D-454D-AC8C-395AA3AC284C}C:\users\анатолий\downloads\anydesk (3).exe] => (Allow) C:\users\анатолий\downloads\anydesk (3).exe => Нет файла
FirewallRules: [TCP Query User{5B48B76C-A662-4456-9713-5D1779D62C0F}C:\users\анатолий\downloads\anydesk (5).exe] => (Allow) C:\users\анатолий\downloads\anydesk (5).exe => Нет файла
FirewallRules: [UDP Query User{615F5045-348B-4EAD-83C4-ED333D84A462}C:\users\анатолий\downloads\anydesk (5).exe] => (Allow) C:\users\анатолий\downloads\anydesk (5).exe => Нет файла
FirewallRules: [{63FF2BE3-BC13-496F-A59F-0E34F996D9FA}] => (Allow) C:\Users\Анатолий\AppData\Local\Programs\Opera\opera.exe => Нет файла
FirewallRules: [{E4186FEA-E37B-4AAE-9271-799F52BD10DE}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{6E441200-F2B0-42F1-B42A-2C318D453B32}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{3AB721D8-467B-441A-8F39-070B2D392754}] => (Allow) C:\Users\Анатолий\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\ceup.exe => Нет файла
FirewallRules: [{0504FF75-E193-42C8-82B7-865B66F25BA7}] => (Allow) C:\Users\Анатолий\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\ceup.exe => Нет файла
FirewallRules: [{A9A06E73-3EDC-4572-AF15-009A20E1A867}] => (Allow) C:\Users\Анатолий\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла
FirewallRules: [{A071E824-C327-42BD-974C-655C92252406}] => (Allow) C:\Users\Анатолий\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Alena__]

Прикрепила, спасибо!

Fixlog.txt

[thyrex]

Папку C:\Windows\system32\wsvcz удалите вручную. Проблема решена?

[Alena__]

Добрый день! Папку удалила и перепроверила на наличие вирусов, все чисто. Огромное спасибо Вам за помощь!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.