[РЕШЕНО] Помощь в удалении Tool.BtcMine.2714,2754

[Константин Д]

Добрый день! Вчера заметил, что в играх стал сильно проседать ФПС. При попытке скачать Dr.Web браузер закрывается, защитник Windows выключен, диспетчер задач не дает посмотреть автозагрузку приложений. В безопасном режиме CureIt обнаружил угрозы: Tool.BtcMine.2714 (объекты amd.exe, appmodule.exe), Trojan.BtcMine.2754, taskhost.exe,taskhostw.exe, Trojan.Autoit.1559, Trojan.Starter.8242. Autologger запустился только в безопасном режиме с измененным именем. В реестре отключен Windows Defender, включить через задачи тоже не дает- нет доступа. 

CollectionLog-2026.01.06-12.21.zip

[Sandor]

Здравствуйте!

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

Можно также запустить в безопасном режиме с поддержкой сети (5 или F5).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в нормальном режиме загрузки.
 

[Константин Д]

AV_block_remove_2026.01.06-17.50.log CollectionLog-2026.01.06-17.58.zip

[Sandor]

Хорошо, продолжаем.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - MountPoints2: HKCU\..\{71fa0ce7-4bc4-11ee-8002-14133335adc2}\shell\AutoRun\command: (default) = D:\autorun.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = (missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B7019EBD-4A48-4214-BA41-FADF9CA57849} - \Microsoft\Windows\Wininet\winser (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FF9774AC-3650-4CE2-BAB9-8363462FB52A} - \Microsoft\Windows\Wininet\winsers (no xml)
O22 - Tasks: \Microsoft\Windows\RecoveryManagerS\RecoveryHosts - C:\ProgramData\Microsoft\DRM\hFhklHMCsa\RecoveryManagerS.bat (file missing)
O22 - Tasks: UpdateTorrent - C:\Users\Анастасия\AppData\Roaming\utorrent\pro\uTorrentClient.exe /T (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

[Константин Д]

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsdefender <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {05761F97-44FA-4F3D-8357-147E8880F77F} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {5DEE630F-D50D-45BE-85F2-0CAF62FA7B6A} - \Microsoft\Windows\WindowsBackup\ServiceControl -> Нет файла <==== ВНИМАНИЕ
  Task: {60B3F1FB-BA7A-47A4-A0E0-1BB7FB8DF837} - \Microsoft\Windows\WindowsBackup\BackUpFiles -> Нет файла <==== ВНИМАНИЕ
  Task: {9C6D6B91-21B7-46FB-B3BF-1368534020B1} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\Анастасия\AppData\Local\Yandex\YandexBrowser\User Data\Profile 1\Extensions\dibnmhedjcfpfdncohhommdoohkafnpd
  2026-01-05 12:39 - 2026-01-05 12:39 - 000000000 ___SH C:\ProgramData\tg.txt
  2026-01-05 12:39 - 2026-01-05 12:39 - 000000000 ___SH C:\ProgramData\temp.txt
  2026-01-05 12:35 - 2026-01-05 12:35 - 000000970 _____ C:\Users\Анастасия\setup.dat
  2026-01-05 12:35 - 2026-01-05 12:35 - 000000000 ____D C:\Users\Анастасия\AppData\Local\utorrentclient-updater
  2026-01-04 19:27 - 2026-01-06 11:31 - 000000000 ____D C:\ProgramData\Avira
  AlternateDataStreams: C:\desktop.ini:CachedTiles [3356]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [10288]
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Константин Д]

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[Константин Д]

Защитник Widows при открытие выдает сообщение "Страница не доступна. Ваш системный администратор ограничил доступ."

 

Проблема решилась, была отключена служба "Безопасность Windows"

[Sandor]

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Константин Д]

SecurityCheck by glax24 & Severnyj v.1.4.0.58 [15.08.24]
WebSite: www.safezone.cc
DateLog: 07.01.2026 18:39:50
Path starting: C:\Users\Анастасия\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Anastasia
VersionXML: 15.46is-31.12.2025
___________________________________________________________________________

Windows 11 Professional (x64) Версия: 22H2 (10.0.22621.4317) Язык: Russian(0419)
Дата установки ОС: 16.07.2023 20:38:32
Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
Статус лицензии: Office 19, Office19ProPlus2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 142623 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [953.8 Гб] Занято: [568.7 Гб] Свободно: [385.1 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Контроль учётных записей пользователя включен
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Фоновая интеллектуальная служба передачи (BITS) (BITS) - Служба остановлена
Оптимизация доставки (DoSvc) - Служба работает
Служба "Безопасность Windows" (SecurityHealthService) - Служба работает
Служба оркестратора обновлений (UsoSvc) - Служба остановлена
WaaSMedicSvc (WaaSMedicSvc) - Служба работает
Центр обновления Windows (wuauserv) - Служба работает
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.4518.1031
---------------------------- [ Antivirus_WMI ] ----------------------------
Dr.Web Security Space (включен и обновлен)
Windows Defender (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Dr.Web Security Space v.12.0
Dr.Web Online v.1.0
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.23.7.1 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.22253 Внимание! Скачать обновления Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
^Инструкция по обновлению Microsoft Office.^
NVIDIA App 11.0.5.420 v.11.0.5.420
Среда выполнения Microsoft Edge WebView2 Runtime v.143.0.3650.96
Microsoft Office Access database engine 2007 (English) v.12.0.4518.1031 Данная программа больше не поддерживается разработчиком.
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9161 Внимание! Скачать обновления
Telegram Desktop v.4.9 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.47224 Внимание! Клиент сети P2P с рекламным модулем!
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!
-------------------------------- [ Media ] --------------------------------
KMPlayer 64X (remove only) v.2023.10.26.12 Внимание! Скачать обновления
Mp3tag v3.27 v.3.27 Внимание! Скачать обновления
VLC media player v.3.0.20 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.25.12.0.2197 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.143.0.7499.170
------------------ [ AntivirusFirewallProcessServices ] -------------------
Dr.Web Scanning Engine (DrWebEngine) - Служба работает
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe v.12.6.18.7021
Dr.Web Control Service (DrWebAVService) - Служба работает
C:\Program Files\DrWeb\dwservice.exe v.12.12.38.11120
Dr.Web Cloud Service (DrWebCldSvc) - Служба работает
C:\Program Files\DrWeb\dwcloudhost.exe v.13.0.0.3070
Dr.Web Net Filtering Service (DrWebNetFilter) - Служба работает
C:\Program Files\DrWeb\dwnetfilter.exe v.12.5.20.7090
Dr.Web Wsc Service (DrWebWscService) - Служба работает
C:\Program Files\DrWeb\wsc-service.exe v.1.0.0.4150
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe v.12.6.18.7021
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwantispam.exe v.12.6.18.7021
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwwatcher.exe v.12.6.18.7021
C:\Program Files\DrWeb\spideragent.exe v.12.12.20.11130
Основная служба Microsoft Defender (MDCoreSvc) - Служба работает
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25110.6-0\MpDefenderCoreService.exe v.4.18.25110.6
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.25110.6-0\MsMpEng.exe v.4.18.25110.6
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
 

[Sandor]

На "цветные" строки обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

[Константин Д]

Спасибо большое за помощь!

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".