Решена помогите удалить Tool.btc/Mine2660 и другие вирусы

[Ruslan197911]

браузер сам закрывается, антивирус не загружается, вирусы размножаются сами, помогите

 

[Ruslan197911]

avz

 

[Ruslan197911]

просканировал в безопасном режиме как смог

 

[thyrex]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите по правилам CollectionLog Автологером в обычном режиме загрузки.

 

[Ruslan197911]

отпраляю

 

[Sandor]

Вы пытались запустить очень старую версию. Скачайте актуальную по приведенной выше ссылке и запустите ещё раз.
Новый лог прикрепите к следующему сообщению.

 

[Ruslan197911]

не дает скачивать, в безопасном режиме

 

[Sandor]

Скачайте в нормальном режиме.
Если и так не получится, скачайте отсюда.

 

[Ruslan197911]

получилось

 

[Ruslan197911]

после перезагрузки в нормальном режиме

 

[Sandor]

Второй раз можно было не делать, но не страшно.
Удалите старые, создайте и прикрепите новые логи FRST.txt и Addition.txt

 

[Ruslan197911]

frst64

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1695536339-339007733-1364607436-1000\...\Run: [MediaGet2] => C:\Users\User\MediaGet2\mediaget.exe --minimized (Нет файла)
  Task: {47B107E1-0D67-4925-ADA9-379F443E350E} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {B1078936-8177-44B9-8286-604EDAD5DBA1} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {D4F18B16-9C55-4AB1-ADCF-8411E68925F5} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {FB00C942-0DC1-41BD-B1A1-FDBCD7D25529} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Folder: C:\ProgramData\PHRfjpBDdFdTlBT
  Folder: C:\ProgramData\RTvVBxbFNpbrjTdjt
  2022-09-13 19:51 - 2022-09-13 19:51 - 000000000 ____D C:\ProgramData\PHRfjpBDdFdTlBT
  2022-09-13 11:19 - 2022-09-13 11:19 - 000000000 ____D C:\ProgramData\RTvVBxbFNpbrjTdjt
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  FirewallRules: [{D11DED59-53BD-41AD-BD8B-8F9DE58FD0FB}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{A79A26CC-3C60-4866-960C-4B27343C02ED}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{57695926-E8DB-4693-86FD-54438B05FC33}] => (Allow) C:\Users\User\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{C0B4AABB-78E6-454F-84E3-61496FB0EC48}] => (Allow) C:\Users\User\MediaGet2\QtWebEngineProcess.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Ruslan197911]

отправляю

 

[Sandor]

Что сейчас с проблемой?

 

[Ruslan197911]

вроде все норм. это все? спасибо вам огромное, не знаю кто вы, но молодцы!

 

[Sandor]

Отлично!

Завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Ruslan197911]

сделал

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46348 Внимание! Клиент сети P2P с рекламным модулем!.
---------------------------- [ UnwantedApps ] -----------------------------
PC Benchmark v.1.1.1.10 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Игровой центр v.4.1676 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.2.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО