Перейти к содержанию
Правила раздела

[РЕШЕНО] Помогите с удалением Trojan BitCoinMiner.

Iskrinkagame

Автор Iskrinkagame
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Iskrinkagame

Iskrinkagame

Опубликовано
Опубликовано

Здравствуйте. Где-то умудрилась подхватить этот вирус. Заметила нагрузку системы в покое. Просканировала Malwarebytes. Нашёл, поместил в карантин. Из карантина удалила, но через пару секунд снова падают в карантин 2 файла с трояном. И так до бесконечности.

 

 

image.thumb.png.ce9fec0755081808e2367116b81171df.png

Sandor

Sandor

Опубликовано
Опубликовано

Логи собраны устаревшей версией Автологера. Скачайте, пожалуйста, актуальную версию (по ссылке из правил) и переделайте.

Перед этим перезагрузите компьютер и закройте все остальные программы, в том числе антивирусные.

Sandor

Sandor

Опубликовано
Опубликовано

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Следующий скрипт выполните в безопасном режиме.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1642496 2021-06-05] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1622016 2021-08-05] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [94208 2026-01-27] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [462848 2026-01-27] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3547136 2026-01-27] (Microsoft Windows -> Microsoft Corporation)
Folder: C:\ProgramData\ztbhbqffszlu
Folder: C:\ProgramData\czyuzabpfprl
2026-01-27 10:43 - 2026-01-27 12:44 - 000000000 ____D C:\ProgramData\ztbhbqffszlu
2026-01-27 10:43 - 2026-01-27 12:44 - 000000000 ____D C:\ProgramData\czyuzabpfprl
StartPowerShell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\Users\Irishka"
Remove-MpPreference -ExclusionPath "C:"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Продолжайте в нормальном режиме загрузки.

Скачайте этот архив, извлеките из него твики реестра и последовательно запустите каждый, соглашаясь с внесением изменений.

Iskrinkagame

Iskrinkagame

Опубликовано
  • Автор
Опубликовано

При восстановлении системы, после нажатия кнопки "перезагрузить сейчас", ПК уходит в перезагрузку и выходит данное сообщение. Не получается запустить систему в безопасном режиме...

117375.jpg

Sandor

Sandor

Опубликовано
Опубликовано

Делайте тогда всё в нормальном режиме.

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. Удалите, пожалуйста, старые и соберите новые логи FRST.txt и Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Все твики применились успешно?

 

Сделайте полную проверку Malwarebytes, при обнаружении угроз сохраните отчёт в текстовый файл (Экспорт) и прикрепите к следующему сообщению.

Также повторите проверку CureIt. Сообщите результат.

Iskrinkagame

Iskrinkagame

Опубликовано
  • Автор
Опубликовано

Да, все твики установились успешно. Malwarebytes и CureIt не видит угроз. Спасибо Вам огромное!!!

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Андрей Востоков
      [РЕШЕНО] Помогите удалить майнер
      Автор Андрей Востоков
      Добрый Вечер! Не получается удалить майнер, после проверки через Malwarebytes программа удаляет майнер, после чего тот устанавливается снова и так каждые 5-10 минут и после перезапуска системы. Отчет по логам и отчет Malwarebytes прилагается 
      CollectionLog-2026.02.11-16.12.zip Malwarebytes Отчет о проверке 2026-02-11 111923.txt
    • LenS
      [РЕШЕНО] Исправить MEM:Trojan.Multi.Agent.gen
      Автор LenS
      Не поняла, когда проскочил вирус. Возможно, во время загрузки аудио через торент. Каждые две минуты попытки выйти в какие-то "опасные сайты". Антивирус жалуется, что вирусов вообще несколько, но проверка с помощью Kaspersky Virus Removal Tool выявила только одну проблему. Скрины сообщений от антивируса и логи прикрепляю. Помогите, пожалуйста. Коппьютер нужен для работы, не хочется переустанавливать винду



      CollectionLog-2026.02.06-18.15.zip отчет_касперский.txt
    • trotnl
      Трояны и вирусные расширения браузера
      Автор trotnl
      Недавно мной были замечены странные видео в истории просмотра, которые я, естественно, не смотрел, решил проверить в чем проблема, выяснилось что у меня появилось неизвестного происхождения расширение которое маскируется под adblock, где при переходе на сайт разработчика выходит фейковый сайт (см. прикрепленные фото)

       
       
      Решил удалить напрямую из папки расширений браузера, но это тоже не помогло, они просто подгрузились обратно, далее провел проверку программой Dr.Web CureIt! который нашел следующие проблемы:
       
       

      Также прикрепляю логи: CollectionLog-2026.01.31-13.40.zip Addition.txtFRST.txtAdwCleaner[C00].txt
    • Onkyes
      Словил вирус или Trojan BitCoinMiner
      Автор Onkyes
      Незнаю где и как но на моем компьютере резко упала производительность, через проверку Malwab нашел какие-то трояны-майнеры которые автоматически отправлялись в карантин и так до бессконечности. сам найти источник и удалить его не получилось спустя 5 часов поиска,нужна помощь в удалении потому что я в этом не бум-бум
      CollectionLog-2026.01.27-19.55.zip
    • verty
      Нужна помощь с вирусом BiopassRAT
      Автор verty
      Помогите решить проблему с вирусом, все началось  с того что мне какие то стримеры скинули вирус я так понимаю его название BiopassRAT, может другой вирус , без понятия, но видеть меня могли почти все стримеры в программах для стримингов, обс студио и т.д, менял устройства с симкартами и аккаунтами, ничего не помогало, все ровно как то накидывали его, не подключался к зараженным роутеру, по скольку у меня его нету, вообще без понятия как, но прослушиваюсь 24/7 
×
×
  • Создать...