Решена Пользователь John и вирус Tool.BtcMine.2660.

[Alexey78]

Здравствуйте!
Ситуация такая.
После скачивания торрента.
Ноут начал громко шуметь и нагреваться.
Попытался скачать dr.web как сразу меня выкинуло из браузера. До сих пор не получается открыть никакой браузер.
Скачал dr.web через телефон, через кабель отправил на ноут, запустил через безопасный режим.
Обнаружен вирус Tool.BtcMine.2660 и новый пользователь John.
Попытался разобраться в проблеме сам. Решённые темы на форуме не дали мне никаких результатов. Возможно у всех все по разному происходит.
Помогите пожалуйста удалить этот Чертов вирус.

 

[Alexey78]

Прикрепил логи

 

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Alexey78]

Готово

 

[Sandor]

Хорошо, продолжаем.

"Пофиксите" в HijackThis только следующие строки:

O1 - Hosts: Reset contents to default
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: CorelUpdateHelperTask-6A138CE2372B129671C0682EB755091F - c:\Program Files (x86)\Corel\CUH\v2\CUH.exe -resume (file missing)

Перезагрузите компьютер.

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Alexey78]

Сделал

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {79992659-81C2-454D-95E5-665F867C088D} - \Microsoft\Windows\WindowsBackup\RealtekCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {8D5D4448-B71F-4949-9798-CAF726AA8827} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {DDD4E373-85BF-4773-93EC-AF9C3F211911} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
  CHR HomePage: Profile 2 -> hxxp://mail.ru/cnt/10445?gp=anvir
  CHR StartupUrls: Profile 2 -> "hxxp://mail.ru/cnt/10445?gp=anvir"
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\ibknafobnmndicojahlppolcaaibngjf
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Profile 5\Extensions\ibknafobnmndicojahlppolcaaibngjf
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\ibknafobnmndicojahlppolcaaibngjf
  CHR HKU\S-1-5-21-682276532-1404052580-41226840-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  AlternateDataStreams: C:\ProgramData:MHD [244]
  AlternateDataStreams: C:\Users\All Users:MHD [244]
  AlternateDataStreams: C:\Users\Все пользователи:MHD [244]
  AlternateDataStreams: C:\ProgramData\Application Data:MHD [244]
  AlternateDataStreams: C:\Users\user\Local Settings:MHD [256]
  AlternateDataStreams: C:\Users\user\AppData\Local:MHD [256]
  AlternateDataStreams: C:\Users\user\AppData\Local\Application Data:MHD [256]
  AlternateDataStreams: C:\Users\user\AppData\Local\Temp:MHD [312]
  AlternateDataStreams: C:\Users\user\Documents\Malinovka:MHD [314]
  FirewallRules: [{C3F43A05-171F-4402-99E4-B10BAC02A016}] => (Allow) C:\Users\user\Programs\Adblock\DnsService.exe => Нет файла
  FirewallRules: [{BDB325AB-2959-445C-8A5B-57F2109A5C31}] => (Allow) C:\Users\user\Programs\Adblock\DnsService.exe => Нет файла
  FirewallRules: [{A17CC8CA-81A3-4168-91D9-B4BD7E574145}] => (Allow) C:\Users\user\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
  FirewallRules: [{7CCEF7B3-C949-4C1E-98C4-EFB46FB26BAD}] => (Allow) C:\Users\user\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Alexey78]

Готово

 

[Sandor]

Хорошо. Проблема решена?

 

[Alexey78]

В целом, да.
А вот хотел узнать у Вас, мы сейчас его полностью из системы удалили?
Может возможно как то, хвосты его зачистить, если вдруг что то осталось?

 

[Sandor]

Хвосты мы почистили, но давайте ещё так проверим:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[Alexey78]

Готово

 

[Sandor]

Удалять ничего не нужно, это ложные срабатывания.

Проделайте завершающие шаги:

1. Деинсталлируйте Malwarebytes.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Alexey78]

Готово

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - en-us v.16.0.15601.20378 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.15601.20378 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

По возможности исправьте перечисленное.

После скачивания торрента

На будущее будьте внимательны.

Читайте Рекомендации после удаления вредоносного ПО

 

[Alexey78]

Спасибо Вам большое!
Искренне человеческое спасибо !