Как удалить Tool.BtcMine.2823?

[npoMbIceJI]

добрый день, словил Tool.BtcMine.2823, никак не удаляется, подскажите, пожалуйста, варианты решения!!!

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[npoMbIceJI]

логи.zip

[Sandor]

Перечитайте ещё раз внимательно инструкцию, выполните и прикрепите нужные логи.

[npoMbIceJI]

CollectionLog-2026.01.18-20.53.zip

[thyrex]

Логи Farbar придется переделать (обратите внимание на примечание к п. 3 в моей инструкции).

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

• Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[npoMbIceJI]

1 час назад, thyrex сказал:

 

при попытке запуска Фарбар вылезает вот это, скачал версию для своей ОС, 64 бита

 

Изменено вчера в 13:42 пользователем npoMbIceJI

[thyrex]

Но ведь в сообщении №3 Вы ведь выложили логи, только сделанные не до конца.

[npoMbIceJI]

Да выложил, но при новом запуске фарбара вылезло обновление, а после него это сообщение

[thyrex]

Скачайте из этой папки: Utils

 

Перед запуском отключите сеть. Проблема в Роскомнадзоре, который дает скачать только блоками по 16КБ и рвет связь. Поэтому программа после обновления скачивается битой.

[npoMbIceJI]

запустил, но уже без addition сканировалосьлоги.zip

[thyrex]

Addition.txt тоже нужен. Переделывайте.

[npoMbIceJI]

прикрепляю логи

 

логи.zip

[thyrex]

Похоже, что антивирус справился уже самостоятельно. Ибо библиотека майнера уже удалена.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-12-10] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2025-12-10] (Microsoft Windows -> Microsoft Corporation)
S2 u151256; C:\Windows\System32\svchost.exe [88232 2025-09-09] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 u151256; C:\Windows\SysWOW64\svchost.exe [53312 2025-09-09] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [110592 2025-12-10] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-12-10] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [184720 2025-12-10] (Microsoft Windows -> Корпорация Майкрософт)
S3 ace-game-0; \SystemRoot\System32\drivers\ace-game-0.sys [X]
R3 EAAntiCheat; system32\drivers\eaanticheat.sys [X]
File: C:\WINDOWS\system32\u227456
File: c:\windows\system32\u151256.dll
CustomCLSID: HKU\S-1-5-21-30721915-2834470797-3752613452-1001_Classes\CLSID\{50726f74-6f6e-2e56-504e-000000000000}\localserver32 -> "C:\Program Files\Proton\VPN\v4.3.5\ProtonVPN.Client.exe" -ToastActivated => Нет файла
AlternateDataStreams: C:\WINDOWS\System32:sguard [36]
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
FirewallRules: [{A1051705-334F-4F31-A037-22C69176A630}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{0A001F4E-6043-4812-9BD4-4B4EC64B4195}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{1EFA8A44-C958-4F41-BCB4-86EFC399413C}C:\program files\ea games\battlefield v\bfv.exe] => (Allow) C:\program files\ea games\battlefield v\bfv.exe => Нет файла
FirewallRules: [UDP Query User{1F1C6135-236A-4702-BB0B-8E3F1871F5BB}C:\program files\ea games\battlefield v\bfv.exe] => (Allow) C:\program files\ea games\battlefield v\bfv.exe => Нет файла
FirewallRules: [TCP Query User{577710C2-FCE7-42F9-93E9-0FBA76075016}C:\program files\ea games\battlefield 4\bf4.exe] => (Allow) C:\program files\ea games\battlefield 4\bf4.exe => Нет файла
FirewallRules: [UDP Query User{6129E058-CB4C-4D26-8F05-65BF30E628BA}C:\program files\ea games\battlefield 4\bf4.exe] => (Allow) C:\program files\ea games\battlefield 4\bf4.exe => Нет файла
FirewallRules: [TCP Query User{DC81C7BF-4DC6-4C83-8F68-CFF93B371EEE}C:\program files (x86)\steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe => Нет файла
FirewallRules: [UDP Query User{B23F0068-3B54-45F5-A09E-0922D4E2163B}C:\program files (x86)\steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe => Нет файла
FirewallRules: [{0C94687D-691E-423C-ABD4-260C40D6912D}] => (Allow) C:\Users\yaros\AppData\Local\proxy-sdk\proxy-sdk.exe => Нет файла
FirewallRules: [TCP Query User{5F07336E-EA1E-4010-9638-B7BCA081D7F2}C:\program files (x86)\steam\steamapps\common\battlefield 2042\bf2042.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\battlefield 2042\bf2042.exe => Нет файла
FirewallRules: [UDP Query User{AAEB8665-B824-4E65-BD21-9B3126E17E0B}C:\program files (x86)\steam\steamapps\common\battlefield 2042\bf2042.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\battlefield 2042\bf2042.exe => Нет файла
FirewallRules: [TCP Query User{6CE54C8F-F5D2-4A5A-AEB7-85CF6D1D6D5E}C:\program files\ea games\battlefield 6 event\bf6event.exe] => (Allow) C:\program files\ea games\battlefield 6 event\bf6event.exe => Нет файла
FirewallRules: [UDP Query User{C7F57DB3-F9D1-4235-A3CD-5CC4C4782160}C:\program files\ea games\battlefield 6 event\bf6event.exe] => (Allow) C:\program files\ea games\battlefield 6 event\bf6event.exe => Нет файла
FirewallRules: [{5F041224-DEF4-4B78-9D7F-14B8D5161320}] => (Allow) C:\Program Files\EA Games\Battlefield 6 Event\EAAntiCheat.GameServiceLauncher.exe => Нет файла
FirewallRules: [{285B18B9-33BF-4BDA-90F4-7C8EE8B603F9}] => (Allow) C:\Program Files\EA Games\Battlefield 6 Event\EAAntiCheat.GameServiceLauncher.exe => Нет файла
FirewallRules: [TCP Query User{90F5D435-242A-4588-87E7-B22C0CB8E4FE}C:\program files (x86)\steam\steamapps\common\theouterworlds\indiana\binaries\win64\indiana-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\theouterworlds\indiana\binaries\win64\indiana-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{AFE11023-786F-41C9-B1DC-7BE764931FE3}C:\program files (x86)\steam\steamapps\common\theouterworlds\indiana\binaries\win64\indiana-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\theouterworlds\indiana\binaries\win64\indiana-win64-shipping.exe => Нет файла
FirewallRules: [{3A5D32E9-2B6E-477B-98D1-F54BE28E92E9}] => (Allow) C:\Program Files\EA Games\Battlefield V\EAAntiCheat.GameServiceLauncher.exe => Нет файла
FirewallRules: [{EE462DF3-41F8-4EEF-89A4-3FC37683122F}] => (Allow) C:\Program Files\EA Games\Battlefield V\EAAntiCheat.GameServiceLauncher.exe => Нет файла
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\Users\yaros"
Remove-MpPreference -ExclusionPath "C:"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile"
Remove-MpPreference -ExclusionPath "C:\Windows \System32"
Remove-MpPreference -ExclusionPath "C:\Windows\System32"
Remove-MpPreference -ExclusionPath "D:\"
Remove-MpPreference -ExclusionPath "E:\"
EndPowerShell:
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-24H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.