Помощь в удалении Tool.BtcMine.2714,2754

вчера в 08:39

Добрый день! Вчера заметил, что в играх стал сильно проседать ФПС. При попытке скачать Dr.Web браузер закрывается, защитник Windows выключен, диспетчер задач не дает посмотреть автозагрузку приложений. В безопасном режиме CureIt обнаружил угрозы: Tool.BtcMine.2714 (объекты amd.exe, appmodule.exe), Trojan.BtcMine.2754, taskhost.exe,taskhostw.exe, Trojan.Autoit.1559, Trojan.Starter.8242. Autologger запустился только в безопасном режиме с измененным именем. В реестре отключен Windows Defender, включить через задачи тоже не дает- нет доступа.

CollectionLog-2026.01.06-12.21.zip

вчера в 12:43

Здравствуйте!

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

Можно также запустить в безопасном режиме с поддержкой сети (5 или F5).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в нормальном режиме загрузки.

вчера в 13:00

AV_block_remove_2026.01.06-17.50.log CollectionLog-2026.01.06-17.58.zip

вчера в 13:06

Хорошо, продолжаем.

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - MountPoints2: HKCU\..\{71fa0ce7-4bc4-11ee-8002-14133335adc2}\shell\AutoRun\command: (default) = D:\autorun.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = (missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B7019EBD-4A48-4214-BA41-FADF9CA57849} - \Microsoft\Windows\Wininet\winser (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FF9774AC-3650-4CE2-BAB9-8363462FB52A} - \Microsoft\Windows\Wininet\winsers (no xml)
O22 - Tasks: \Microsoft\Windows\RecoveryManagerS\RecoveryHosts - C:\ProgramData\Microsoft\DRM\hFhklHMCsa\RecoveryManagerS.bat (file missing)
O22 - Tasks: UpdateTorrent - C:\Users\Анастасия\AppData\Roaming\utorrent\pro\uTorrentClient.exe /T (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер.

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

вчера в 13:36

FRST.txt Addition.txt

вчера в 13:49

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsdefender <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {05761F97-44FA-4F3D-8357-147E8880F77F} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {5DEE630F-D50D-45BE-85F2-0CAF62FA7B6A} - \Microsoft\Windows\WindowsBackup\ServiceControl -> Нет файла <==== ВНИМАНИЕ
Task: {60B3F1FB-BA7A-47A4-A0E0-1BB7FB8DF837} - \Microsoft\Windows\WindowsBackup\BackUpFiles -> Нет файла <==== ВНИМАНИЕ
Task: {9C6D6B91-21B7-46FB-B3BF-1368534020B1} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
C:\Users\Анастасия\AppData\Local\Yandex\YandexBrowser\User Data\Profile 1\Extensions\dibnmhedjcfpfdncohhommdoohkafnpd
2026-01-05 12:39 - 2026-01-05 12:39 - 000000000 ___SH C:\ProgramData\tg.txt
2026-01-05 12:39 - 2026-01-05 12:39 - 000000000 ___SH C:\ProgramData\temp.txt
2026-01-05 12:35 - 2026-01-05 12:35 - 000000970 _____ C:\Users\Анастасия\setup.dat
2026-01-05 12:35 - 2026-01-05 12:35 - 000000000 ____D C:\Users\Анастасия\AppData\Local\utorrentclient-updater
2026-01-04 19:27 - 2026-01-06 11:31 - 000000000 ____D C:\ProgramData\Avira
AlternateDataStreams: C:\desktop.ini:CachedTiles [3356]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [10288]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

вчера в 14:00

Fixlog.txt

вчера в 14:08

Что сейчас с проблемой?

вчера в 14:15

Защитник Widows при открытие выдает сообщение "Страница не доступна. Ваш системный администратор ограничил доступ."

Проблема решилась, была отключена служба "Безопасность Windows"

11 часов назад

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

6 часов назад

SecurityCheck by glax24 & Severnyj v.1.4.0.58 [15.08.24]
WebSite: www.safezone.cc
DateLog: 07.01.2026 18:39:50
Path starting: C:\Users\Анастасия\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Anastasia
VersionXML: 15.46is-31.12.2025
___________________________________________________________________________

Windows 11 Professional (x64) Версия: 22H2 (10.0.22621.4317) Язык: Russian(0419)
Дата установки ОС: 16.07.2023 20:38:32
Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
Статус лицензии: Office 19, Office19ProPlus2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 142623 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [953.8 Гб] Занято: [568.7 Гб] Свободно: [385.1 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Контроль учётных записей пользователя включен
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Фоновая интеллектуальная служба передачи (BITS) (BITS) - Служба остановлена
Оптимизация доставки (DoSvc) - Служба работает
Служба "Безопасность Windows" (SecurityHealthService) - Служба работает
Служба оркестратора обновлений (UsoSvc) - Служба остановлена
WaaSMedicSvc (WaaSMedicSvc) - Служба работает
Центр обновления Windows (wuauserv) - Служба работает
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.4518.1031
---------------------------- [ Antivirus_WMI ] ----------------------------
Dr.Web Security Space (включен и обновлен)
Windows Defender (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Dr.Web Security Space v.12.0
Dr.Web Online v.1.0
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.23.7.1 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.22253 Внимание! Скачать обновления Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
^Инструкция по обновлению Microsoft Office.^
NVIDIA App 11.0.5.420 v.11.0.5.420
Среда выполнения Microsoft Edge WebView2 Runtime v.143.0.3650.96
Microsoft Office Access database engine 2007 (English) v.12.0.4518.1031 Данная программа больше не поддерживается разработчиком.
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9161 Внимание! Скачать обновления
Telegram Desktop v.4.9 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.47224 Внимание! Клиент сети P2P с рекламным модулем!
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!
-------------------------------- [ Media ] --------------------------------
KMPlayer 64X (remove only) v.2023.10.26.12 Внимание! Скачать обновления
Mp3tag v3.27 v.3.27 Внимание! Скачать обновления
VLC media player v.3.0.20 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.25.12.0.2197 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.143.0.7499.170
------------------ [ AntivirusFirewallProcessServices ] -------------------
Dr.Web Scanning Engine (DrWebEngine) - Служба работает
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe v.12.6.18.7021
Dr.Web Control Service (DrWebAVService) - Служба работает
C:\Program Files\DrWeb\dwservice.exe v.12.12.38.11120
Dr.Web Cloud Service (DrWebCldSvc) - Служба работает
C:\Program Files\DrWeb\dwcloudhost.exe v.13.0.0.3070
Dr.Web Net Filtering Service (DrWebNetFilter) - Служба работает
C:\Program Files\DrWeb\dwnetfilter.exe v.12.5.20.7090
Dr.Web Wsc Service (DrWebWscService) - Служба работает
C:\Program Files\DrWeb\wsc-service.exe v.1.0.0.4150
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe v.12.6.18.7021
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwantispam.exe v.12.6.18.7021
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwwatcher.exe v.12.6.18.7021
C:\Program Files\DrWeb\spideragent.exe v.12.12.20.11130
Основная служба Microsoft Defender (MDCoreSvc) - Служба работает
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25110.6-0\MpDefenderCoreService.exe v.4.18.25110.6
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25110.6-0\MsMpEng.exe v.4.18.25110.6
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

Помощь в удалении Tool.BtcMine.2714,2754

Рекомендуемые сообщения

Константин Д

Sandor

Константин Д

Sandor

Константин Д

Sandor

Константин Д

Sandor

Константин Д

Sandor

Константин Д

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum