Решена Обнаружены вредоносные файлы tool.btcmine.2687

A

Alex394

Новый пользователь
Сообщения
6
Реакции
0
Здравствуйте, сегодня делал проверку с помощью DR.WEB и он обнаружил несколько файлов tool.btcmine.2687, сделал сканирование с помощью AVZ ничего не показал и с помощью FRST прикрепляю log, так же в одном из log я увидел нового администратора рядом со мной под именем John. Сканирование AutoLogger выполнил архив прикладываю.

1682165866200.png
 

Вложения

Последнее редактирование:
Удаляйте, все что нашел куреит. И готовьте полноценные логи FRST
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Куреит ничего не обнаруживает, а если сканирование выполнять DR.WEB антивирусником, то он находит tool.btcmine.2687
 
тогда готовьте логи FRST огрызок выше не годиться.
 
Я провел сканирование нажав кнопку " сканирование " в программе FRST
 

Вложения

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST
John (S-1-5-21-364097164-3679396712-3319335087-1002 - Administrator - Enabled)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-364097164-3679396712-3319335087-1001\...\Policies\Explorer: [DisallowRun] 1
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\ProgramData\WavePad
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\ProgramData\RobotDemo
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\ProgramData\PuzzleMedia
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\ProgramData\McAfee
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\ProgramData\grizzly
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\ProgramData\FingerPrint
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\ProgramData\Evernote
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\ProgramData\BookManager
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\Program Files\Ravantivirus
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\Program Files\Rainmeter
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\Program Files\Process Lasso
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\Program Files\Cezurity
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\Program Files (x86)\Transmission
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 ____D C:\ProgramData\Avira
2023-03-29 15:08 - 2023-03-29 15:08 - 000000000 ____D C:\Program Files (x86)\IObit
2023-03-29 15:07 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\Doctor Web
2023-03-29 15:07 - 2023-04-22 14:08 - 000000000 __SHD C:\Program Files\DrWeb
2023-03-29 15:07 - 2023-04-22 13:44 - 000000000 ___HD C:\Program Files\RDP Wrapper
2023-03-29 15:07 - 2023-04-22 13:39 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
2023-03-29 15:07 - 2023-04-22 13:30 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
2023-03-29 15:07 - 2023-03-29 15:14 - 000000000 __SHD C:\ProgramData\WindowsTask
2023-03-29 15:07 - 2023-03-29 15:13 - 000000000 __SHD C:\ProgramData\ReaItekHD
2023-03-29 15:07 - 2023-03-29 15:10 - 000000000 __SHD C:\ProgramData\Setup
2023-03-29 15:07 - 2023-03-29 15:08 - 000000000 __SHD C:\ProgramData\Install
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\ProgramData\RunDLL
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\ProgramData\Norton
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\ProgramData\MB3Install
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\ProgramData\Malwarebytes
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\ProgramData\AVAST Software
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\ProgramData\360safe
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files\SpyHunter
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files\Malwarebytes
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files\Enigma Software Group
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files\COMODO
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files\Common Files\AV
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files\ByteFence
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files\Bitdefender Agent
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files\AVG
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files\AVAST Software
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files (x86)\AVG
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\Program Files (x86)\360
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\KVRT2020_Data
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\KVRT_Data
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 __SHD C:\AdwCleaner
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 ___HD C:\Users\John
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 ____D C:\Windows\speechstracing
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 ____D C:\Users\lenya\AppData\Roaming\RMS_settings
2023-03-29 15:07 - 2023-03-29 15:07 - 000000000 ____D C:\ProgramData\System32
C:\ProgramData\WindowsTask\AppModule.exe
C:\ProgramData\WindowsTask\AMD.exe
FirewallRules: [{3A8CD4A2-44FA-40CB-A94F-CB3D8BACBEA6}] => (Allow) C:\Users\lenya\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{A339DABF-6F3E-4980-A65C-80AC33A44964}] => (Allow) C:\Users\lenya\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{FEC0CF8A-0907-4F59-967F-8DC1984DAAAB}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe () [Файл не подписан]
FirewallRules: [{D9EC32A3-2F34-462C-AF3C-D18E6DFEC82C}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe () [Файл не подписан]
FirewallRules: [{34BEB2C5-BF1E-42E9-AE9A-4C01E9C0BB49}] => (Block) LPort=445
FirewallRules: [{A2315400-9ADB-4815-88B3-9FBD71DE4B6B}] => (Block) LPort=445
FirewallRules: [{6F52B076-955D-4636-B982-7F48CDC4A29B}] => (Block) LPort=139
FirewallRules: [{47869C18-72EE-4939-A42D-5E77914896F0}] => (Block) LPort=139
FirewallRules: [{AED65D77-3606-4407-91ED-D2A724E87044}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{5DAD8753-5B23-4A54-A5E1-6E8626A695E2}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Последнее редактирование модератором:
Прилагаю Fixlog, только вот корзина не пустая и история браузера тоже
 

Вложения

Хорошо, теперь нужен свежий комплект логов FRST, посмотрим, что осталось.
 
Простите, потеряли тему.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код: 
Start::
SystemRestore: On
CreateRestorePoint:
C:\ProgramData\WindowsTask\AppModule.exe
C:\ProgramData\WindowsTask\AMD.exe
C:\ProgramData\WindowsTask\
FirewallRules: [{3A8CD4A2-44FA-40CB-A94F-CB3D8BACBEA6}] => (Allow) C:\Users\lenya\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{A339DABF-6F3E-4980-A65C-80AC33A44964}] => (Allow) C:\Users\lenya\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{FEC0CF8A-0907-4F59-967F-8DC1984DAAAB}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe () [Файл не подписан]
FirewallRules: [{D9EC32A3-2F34-462C-AF3C-D18E6DFEC82C}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe () [Файл не подписан]
FirewallRules: [{34BEB2C5-BF1E-42E9-AE9A-4C01E9C0BB49}] => (Block) LPort=445
FirewallRules: [{A2315400-9ADB-4815-88B3-9FBD71DE4B6B}] => (Block) LPort=445
FirewallRules: [{6F52B076-955D-4636-B982-7F48CDC4A29B}] => (Block) LPort=139
FirewallRules: [{47869C18-72EE-4939-A42D-5E77914896F0}] => (Block) LPort=139
FirewallRules: [{AED65D77-3606-4407-91ED-D2A724E87044}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
EmptyTemp:
Reboot:
End::
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Проверяйте работу ситемы.
 
Скажите, а как сохранить кодировку Юникод?
 
не тот шаблон, более простой ниже

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
C:\ProgramData\WindowsTask\AppModule.exe
C:\ProgramData\WindowsTask\AMD.exe
C:\ProgramData\WindowsTask\
FirewallRules: [{3A8CD4A2-44FA-40CB-A94F-CB3D8BACBEA6}] => (Allow) C:\Users\lenya\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{A339DABF-6F3E-4980-A65C-80AC33A44964}] => (Allow) C:\Users\lenya\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{FEC0CF8A-0907-4F59-967F-8DC1984DAAAB}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe () [Файл не подписан]
FirewallRules: [{D9EC32A3-2F34-462C-AF3C-D18E6DFEC82C}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe () [Файл не подписан]
FirewallRules: [{34BEB2C5-BF1E-42E9-AE9A-4C01E9C0BB49}] => (Block) LPort=445
FirewallRules: [{A2315400-9ADB-4815-88B3-9FBD71DE4B6B}] => (Block) LPort=445
FirewallRules: [{6F52B076-955D-4636-B982-7F48CDC4A29B}] => (Block) LPort=139
FirewallRules: [{47869C18-72EE-4939-A42D-5E77914896F0}] => (Block) LPort=139
FirewallRules: [{AED65D77-3606-4407-91ED-D2A724E87044}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

Ronis
Решена Обнаружены майнеры под названиями Sysfiles и PuzzleMedia в программе roguekiller, но не удаляются им
Ответы
13
Просмотры
364
Sandor
Sandor
P
  • Закрыта
Решена Компьютер тормозит: обнаружены подозрительные файлы в автозагрузке
Ответы
14
Просмотры
240
akok
akok
newswriter
  • Статья Статья
В роутерах Asus обнаружены критические уязвимости: обновите свои устройства как можно скорее
Ответы
0
Просмотры
447
newswriter
newswriter
Назад
Сверху Снизу