Помощь в удалении Tool.BtcMine2823

[saxarokk]

Здравствуйте! Помогите, пожалуйста, удалить вирус Tool.BtcMine2823. После удаления снова появляется после включения ноутбука.cureit.zip

Изменено вчера в 13:04 пользователем saxarokk

[mike 1]

Здравствуйте. Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[saxarokk]

 Помогите, пожалуйста, удалить вирус Tool.BtcMine2823. После удаления снова появляется после включения ноутбука.

CollectionLog-2026.01.06-16.16.zip

Изменено вчера в 13:17 пользователем saxarokk

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\System32\u638413.dll','');
 DeleteFile('C:\Windows\System32\u638413.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\u638413\Parameters','ServiceDll','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Admin','x32');
 DeleteFile('C:\ProgramData\previously-plenty\bin.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Admin','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[saxarokk]

 

Имя карантин-а(ов) сообщите в теме:
2026.01.06_quarantine_6d7486f31489909420c6e1d399fa4efd.7z

CollectionLog-2026.01.06-16.48.zip

[thyrex]

Не обратил внимание, что логи сделаны безнадежно устаревшей версией Autologger. Откуда ее скачали?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

• Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[saxarokk]

Новая папка.rar

[thyrex]

8 минут назад, thyrex сказал:

Не обратил внимание, что логи сделаны безнадежно устаревшей версией Autologger. Откуда ее скачали?

это я у себя спросил?

[saxarokk]

извините не заметил

cейчас переделаю

 

 

 

Самый первый лог

 

CollectionLog-2026.01.06-17.11.zip

Изменено вчера в 14:09 пользователем saxarokk

[thyrex]

9 минут назад, thyrex сказал:

Откуда ее скачали?

так заметнее? После того, как я запросил другие логи, переделывать что-то смысла нет.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [TeamsMachineUninstallerProgramData] => %ProgramData%\Microsoft\Teams\Update.exe --uninstall --msiUninstall --source=default (Нет файла)
HKU\S-1-5-21-1482434344-1071476737-785155027-1001\...\Run: [FACEIT] => "C:\Users\Admin\AppData\Local\FACEIT\update.exe" --processStart "FACEIT.exe" (Нет файла)
HKU\S-1-5-21-1482434344-1071476737-785155027-1001\...\MountPoints2: {34eb3ed9-56ec-11ee-93c2-e4a8dfd2481f} - "E:\HiSuiteDownLoader.exe" 
C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ciedjmccelcmhmbaadclbbgfopggljnb
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aokglnkmjalheeieogchdooehppelene
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\hkdjdmkdcljhlafkfmefedfpfeabliif
S2 u638413; C:\Windows\System32\svchost.exe [57480 2025-04-25] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 u638413; C:\Windows\SysWOW64\svchost.exe [47080 2025-04-25] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
Folder: C:\Windows\system32\wsvcz
C:\Users\Admin\AppData\Roaming\Microsoft\Word\Отчет%20по%20сапру312246142530559817\Отчет%20по%20сапру.docx.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Word\отчет%20лаба%202%20сапр%20примеOLEGр%20(1)312246154236238355\отчет%20лаба%202%20сапр%20примеOLEGр%20(1).docx.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Word\Кечко312244431448224865\Кечко.REZ.lnk
AlternateDataStreams: C:\Users\Admin\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Admin\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [TCP Query User{D99D2D94-39CA-46D9-B3F9-A2ED7E6A9E44}C:\users\admin\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\admin\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [UDP Query User{B580FF17-4207-45CE-9275-AA4625C87855}C:\users\admin\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\admin\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [{BCA94D40-02CA-46F7-93E5-24DF46008A8C}] => (Allow) C:\steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{FBC2087A-8C05-414A-81FE-EBA613E0A4CD}] => (Allow) C:\steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{F9553726-612A-4042-9F9C-7F8738DB3C66}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{FBFD02A6-4852-417B-ADBE-23049ECA8CCC}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{BA133DD9-3A24-4472-979E-9CC6C7D3DA63}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [{F434A87C-9D90-4E85-9CF9-2AC79D2783D6}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Нет файла
FirewallRules: [TCP Query User{7AFB3C27-F1E9-47DD-B45F-3B777194918D}C:\users\admin\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\admin\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{0C74EECE-E4B8-484C-A853-D7BB4DC0CA48}C:\users\admin\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\admin\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{E2A8DC87-AC61-43F3-8A88-1833B2540A6C}C:\users\admin\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe] => (Block) C:\users\admin\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{5FBFCA83-73A0-4CAE-BE0D-D1A37DCC208A}C:\users\admin\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe] => (Block) C:\users\admin\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{F9FC2482-E326-4E59-BAE3-B02F73A3F165}C:\users\admin\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\admin\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [UDP Query User{41AEBB9B-EB3F-422D-9FDF-049236CDFBCA}C:\users\admin\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\admin\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [{39C0225E-FB79-496F-A357-630D5DB7CCDE}] => (Allow) D:\SteamLibrary\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{7CC14B84-C471-4392-AFE1-58F8B72C02DC}] => (Allow) D:\SteamLibrary\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла
FirewallRules: [{A0394CD4-D696-430F-BEFE-1591A085CB23}] => (Allow) D:\SteamLibrary\steamapps\common\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => Нет файла
FirewallRules: [{294CCF2F-49A4-486C-86B0-E85CD91C67D9}] => (Allow) D:\SteamLibrary\steamapps\common\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => Нет файла
FirewallRules: [TCP Query User{18EF0E10-CD48-4B81-8DA7-F8205C3EDB4B}D:\forts\forts.exe] => (Allow) D:\forts\forts.exe => Нет файла
FirewallRules: [UDP Query User{11D47AAD-D219-4F26-BE85-D799E1A1D73F}D:\forts\forts.exe] => (Allow) D:\forts\forts.exe => Нет файла
FirewallRules: [TCP Query User{3266563E-A5B2-4A57-A28E-86F4401AA741}D:\call of duty modern warfare 3\iw5sp.exe] => (Allow) D:\call of duty modern warfare 3\iw5sp.exe => Нет файла
FirewallRules: [UDP Query User{7A8017C5-F560-46B2-988D-511BE87458B4}D:\call of duty modern warfare 3\iw5sp.exe] => (Allow) D:\call of duty modern warfare 3\iw5sp.exe => Нет файла
FirewallRules: [TCP Query User{60EEAE76-4AD9-40E7-9D90-8D411EBE12F7}C:\programdata\lesta\gamecenter\lgc.exe] => (Allow) C:\programdata\lesta\gamecenter\lgc.exe => Нет файла
FirewallRules: [UDP Query User{916BEE6E-62DE-4C41-9471-B15047B6DE60}C:\programdata\lesta\gamecenter\lgc.exe] => (Allow) C:\programdata\lesta\gamecenter\lgc.exe => Нет файла
FirewallRules: [TCP Query User{432D16F7-5589-4370-A1AC-6A03FD0C77CD}D:\tanki\win64\worldoftanks.exe] => (Allow) D:\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{2803738E-ED90-42C7-864B-B8452C7A8160}D:\tanki\win64\worldoftanks.exe] => (Allow) D:\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [TCP Query User{CC4D71A7-39D4-41A4-B266-881BE21A5B83}D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [UDP Query User{A56E1238-6A2C-42F2-B676-E45D33E221A8}D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{7B557903-F4B4-47C9-8F2F-A270BDA9C55B}D:\steamlibrary\steamapps\common\assettocorsa\acs.exe] => (Allow) D:\steamlibrary\steamapps\common\assettocorsa\acs.exe => Нет файла
FirewallRules: [UDP Query User{2F45DE89-CCF1-45F8-B7BF-CC0E52E632B4}D:\steamlibrary\steamapps\common\assettocorsa\acs.exe] => (Allow) D:\steamlibrary\steamapps\common\assettocorsa\acs.exe => Нет файла
FirewallRules: [{61BAD064-EE5E-4CB7-B9B6-D6F3E4063A18}] => (Block) D:\steamlibrary\steamapps\common\assettocorsa\acs.exe => Нет файла
FirewallRules: [{747E2DFF-57B7-4F56-B83E-858FD8ED5561}] => (Block) D:\steamlibrary\steamapps\common\assettocorsa\acs.exe => Нет файла
FirewallRules: [TCP Query User{FC6D1414-6B1F-4692-8D80-F20A9EA40C78}D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [UDP Query User{276E72CA-A1D0-485D-A84A-414634614A06}D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{4F049347-09E7-4EA5-B8F4-5AFE5DB442A5}D:\adams\aview\win64\aview.exe] => (Allow) D:\adams\aview\win64\aview.exe => Нет файла
FirewallRules: [UDP Query User{738FF70F-66D9-49B3-93E5-1E0ABA85FE2F}D:\adams\aview\win64\aview.exe] => (Allow) D:\adams\aview\win64\aview.exe => Нет файла
FirewallRules: [TCP Query User{03DCE0F0-C570-4231-9D17-022694D255F6}C:\users\admin\appdata\local\faceit\app-2.0.29\faceit.exe] => (Allow) C:\users\admin\appdata\local\faceit\app-2.0.29\faceit.exe => Нет файла
FirewallRules: [UDP Query User{FE8A6C48-A6CC-496A-B024-21E88C21A564}C:\users\admin\appdata\local\faceit\app-2.0.29\faceit.exe] => (Allow) C:\users\admin\appdata\local\faceit\app-2.0.29\faceit.exe => Нет файла
FirewallRules: [TCP Query User{ECAAEB3C-4185-447F-B602-8E0B7EA07AC0}D:\adams\aview\win64\aview.exe] => (Allow) D:\adams\aview\win64\aview.exe => Нет файла
FirewallRules: [UDP Query User{0CA9AFD9-CF93-44D5-AD57-108383F3CBD8}D:\adams\aview\win64\aview.exe] => (Allow) D:\adams\aview\win64\aview.exe => Нет файла
FirewallRules: [{5E8B9F69-E483-4BE2-AB9A-394174F52545}] => (Allow) D:\SteamLibrary\steamapps\common\Buckshot Roulette\Buckshot Roulette_windows\Buckshot Roulette.exe => Нет файла
FirewallRules: [{26BFE11E-DC7D-4078-A1FF-40DB4DE72C7B}] => (Allow) D:\SteamLibrary\steamapps\common\Buckshot Roulette\Buckshot Roulette_windows\Buckshot Roulette.exe => Нет файла
FirewallRules: [{FF58C3BC-8EA2-49BF-9431-70E2A18E6403}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.274.477.0_x64__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{1E69B0CF-6533-4963-AF41-D345A931077F}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.274.477.0_x64__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{079ECA02-101F-4FE8-BCEB-A03CA1C94F5C}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.274.477.0_x64__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{AE3E65F7-6DE1-4236-AA79-1791A8F3AE6D}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.274.477.0_x64__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{B6B2FC84-B36F-408A-8701-AFAD67280F79}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.274.477.0_x64__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{A2555442-8F85-4D05-943F-D30F956D7619}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.274.477.0_x64__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{EA61BADE-3CD8-475E-BA73-F9C96F579AD5}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.274.477.0_x64__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{161D372F-5DBC-4F22-B471-B4A55FCEBF88}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.274.477.0_x64__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{6F9C2811-A25F-4C08-8425-4C8A2EC72499}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.274.477.0_x64__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{61DB8EFB-88DE-461F-9BED-6054881BB4C3}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.274.477.0_x64__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{CDB837F7-B7AA-4365-8DF5-CBC1CB5A547A}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.274.477.0_x64__zpdnekdrzrea0\SpotifyLauncher.exe => Нет файла
FirewallRules: [{631007AD-743F-403B-A7DD-079BA811C5A8}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.274.477.0_x64__zpdnekdrzrea0\SpotifyLauncher.exe => Нет файла
FirewallRules: [{D5AFD87B-60F0-45B5-B6E6-7B7A0FA72728}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.274.477.0_x64__zpdnekdrzrea0\SpotifyLauncher.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[saxarokk]

Fixlog.txt

[thyrex]

Дубль 2:

Откуда скачали древнюю версию Autologger?

[saxarokk]

https://www.comss.ru/page.php?id=1812

 

[thyrex]

Да уж... Вам же сразу дали ссылку на правила, где есть прямая ссылка на скачивание актуальной версии.

 

Папку C:\Windows\system32\wsvcz удалите вручную. 

 

Проблема решена?

[saxarokk]

да помогло , большое спасибо