Решена Как удалить вирус-майнер после скачивания игры с торрента?

[Andromeda]

сегодня словил майнер когда скачал игру с торрента, просканировал dr.web курейтом, нашел Tool.BtcMine.2662, Tool.BtcMine.2663, Tool.BtcMine.2660
пожалуйста помогите мне удалить майнер

 

[Andromeda]

---

,

 

[Andromeda]

upd. при открытии вашего форума, вкладка закрывается, с антивирусами тоже самое

 

[Sandor]

Здравствуйте!

при открытии вашего форума, вкладка закрывается

Если есть возможность, скачайте необходимое на другом, здоровом компьютере и перенесите флешкой.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером, опираясь на Правила оформления запроса о помощи.

 

[Andromeda]

как мне его скачать?

 

[Sandor]

Залил на облако.

 

[Andromeda]

можете автологгер тоже залить? скачать не могу

 

[Sandor]

Залил. Но после того, как отработает AVbr, вы сможете и скачивать и программы закрываться не будут.

 

[Andromeda]

вот

 

[Sandor]

Когда AVbr предложил вам "сбросить" файл hosts на значения по умолчанию, нужно было согласиться.

Сделайте это так:

"Пофиксите" в HijackThis только следующее:

O1 - Hosts: Reset contents to default
O4 - HKCU\..\Run: [WallpaperEngine] = C:\Program Files\Wallpaper Engine\wallpaper64.exe -silent (file missing)
O15 - Trusted Zone: http://hola.org
O22 - Tasks: (disabled) startaman - C:/Program Files (x86)/aman/Aman.exe (file missing)

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Andromeda]

вот

 

[Sandor]

Следующую процедуру выполняйте в нормальном режиме.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1820815191-2608030241-944222309-1001\...\MountPoints2: {06de903d-3d1e-11ec-b8d4-902b34186d74} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-1820815191-2608030241-944222309-1001\...\MountPoints2: {2de5c985-eaad-11eb-b885-902b34186d74} - "F:\x64\Setup.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxp://rusearch.co"
  C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Profile 10\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Profile 9\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  cmd: net user john /delete
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2498]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2498]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [2498]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio Installer.lnk:C2E9D79AC5 [2498]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8338]
  AlternateDataStreams: C:\Users\Андрей\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Андрей\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Andromeda]

вот

 

[Sandor]

Хорошо. Проблема решена?

 

[Andromeda]

да, все перестало фризить, шуметь, все сайты открываются и вкладки не закрываются, спасибо вам огромнейшее

 

[Sandor]

Отлично!

В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.