Словил вирус или Trojan BitCoinMiner

[Onkyes]

Незнаю где и как но на моем компьютере резко упала производительность, через проверку Malwab нашел какие-то трояны-майнеры которые автоматически отправлялись в карантин и так до бессконечности. сам найти источник и удалить его не получилось спустя 5 часов поиска,нужна помощь в удалении потому что я в этом не бум-бум

CollectionLog-2026.01.27-19.55.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

• Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Onkyes]

не удалось запустить это приложение на вашем ПК 
Первый сайт у меня просто не открываеться
зашел на сайт зеркало, скачал обе программы для проверки ни 1 не запускаеться

Фотообменник

 

а это вторая версия приложения на х64
 

Фотообменник

 

FRST.rar Addition.rar В saveboot получилось сделать проверку

 

 

Может кто ответить или помочь?

 

Изменено 27 января пользователем Onkyes

[Sandor]

Наберитесь терпения и дождитесь ответа. Консультанты - не сотрудники компании, а обычные пользователи (конечно, специально обученные и подготовленные).

Отвечают в свободное время.

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2025-07-11] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
S3 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1534976 2025-07-11] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [583168 2025-07-11] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [434176 2025-07-11] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3441152 2025-07-11] (Microsoft Windows -> Microsoft Corporation)
Folder: C:\ProgramData\Google
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3608]
FirewallRules: [TCP Query User{966455DF-18A5-49E1-8DF1-3225F2182CB7}C:\program files\utorria\utorria.exe] => (Allow) C:\program files\utorria\utorria.exe => Нет файла
FirewallRules: [UDP Query User{B05716DB-59C0-4DD4-8D4C-03BF1D360C9A}C:\program files\utorria\utorria.exe] => (Allow) C:\program files\utorria\utorria.exe => Нет файла
File: c:\users\--------------------\appdata\local\temp\143CD3A-17DF8282-E983D1E4-79B5DC3C\Yc7GR5tPIQsCx.exe
c:\users\--------------------\appdata\local\temp\143CD3A-17DF8282-E983D1E4-79B5DC3C\Yc7GR5tPIQsCx.exe
File: C:\Users\--------------------\AppData\Local\Temp\2629542A-F609DD60-D414CF92-6C6A74FC\Zs955FiMuhjVZ.exe
C:\Users\--------------------\AppData\Local\Temp\2629542A-F609DD60-D414CF92-6C6A74FC\Zs955FiMuhjVZ.exe
File: C:\Windows\Temp\esgwqcypmikn.sys
C:\Windows\Temp\esgwqcypmikn.sys
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

[Onkyes]

внес в службы все файлы

 

 

Fixlog.txt

Изменено 28 января пользователем Onkyes

[thyrex]

Что сейчас с проблемой?

[Onkyes]

MalwareBytes больше не видит угрозу, 

по пути /с, юзер программ дата, хроме, больше файл не самовосстанавливаеться. 

Можно как узнать откуда он сам себя аосстанавливал, с какого пути был что бы почистить остатки если они есть? 

Изменено 29 января пользователем Onkyes

[thyrex]

Все, что нужно, уже почистили.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Onkyes]

Прикрепляю

SecurityCheck.txt

[thyrex]

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
AIDA64 Extreme v8.00 v.8.00 Внимание! Скачать обновления
AMD Software v.25.8.1 Внимание! Скачать обновления
AnyDesk 5.9.14 v.5.9.14 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
AmneziaVPN v.4.8.10.0 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u481-windows-x64.exe - Windows Offline (64-bit))^
Google Chrome v.144.0.7559.97 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer, версия 9.90 v.9.90 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.