Решена Помогите удалить tool.btc.miner2660

[Oleja]

Скачал игру с bytor. ru, на следующий день комп стал тормозить, проц загружен на 100% процессом com surrogate. Скачать ан******сы не получается, т.к. браузер закрывается на страницах с этим словом. Установщики с облака не запускаются, либо запускаются, но установка ничем не завершается. Запустил др.веб сканнер, с его помощью удалил файл из названия темы. В Program Data есть несколько пустых папок, доступ в которые запрещен даже из под администратора. После перезагрузки компа удаленный файл восстанавливается

 

[akok]

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

После подготовьте логи по правилам Правила оформления запроса о помощи

 

[Oleja]

Нужно запустить файл taskhostw? Как долго ждать окончания процедур?

 

[akok]

Нужно запустить исполняемый файл, далее все автоматом, утилиту переименовали? Похоже она закрыта вредоносом после распаковки. Если переименовали и запустили, а она закрылась, то нужно ее запустить а безопасном режиме.

 

[Oleja]

Утилита AVZ закрывается самопроизвольно

 

[akok]

Так и будет пока не пролечите систему AV block remover. Зловред крайне агрессивный.

 

[Oleja]

Логи

 

[akok]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O26 - Debugger: HKLM\..\EOSNOTIFY.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\InstallAgent.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\MusNotification.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\MUSNOTIFICATIONUX.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\remsh.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\SIHClient.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UpdateAssistant.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UPFC.EXE: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\UsoClient.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WaaSMedic.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WaasMedicAgent.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\Windows10Upgrade.exe: [Debugger] = * (file missing)
O26 - Debugger: HKLM\..\WINDOWS10UPGRADERAPP.EXE: [Debugger] = * (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[regist]

+ Скачайте свежую версию и повторите из обычного режима

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

 

[Oleja]

Хорошо

 

[Oleja]

+ Скачайте свежую версию и повторите из обычного режима


Скачивал сегодня

 

[Oleja]

Логи

 

[regist]

+ Скачайте свежую версию и повторите из обычного режима


Скачивал сегодня

Тем не менее у вас не самая последняя версия и из обычного режима вообще не запускали. Как следствие у вас до конца не пролечило.

 

[Oleja]

Где скачать последнюю и как запустить из обычного?

 

[thyrex]

Скачиваете по прежней ссылке актуальную версию AVBR, загружаетесь в обычном режиме и запускаете

 

[Oleja]

Скачал повторно АВБР (версия файла та же), перезагрузил комп, запустил прогу

 

[thyrex]

Зато версия скрипта другая.

 

[Oleja]

Что-то еще нужно делать?

 

[akok]

Да, нужны тогда свежие логи FRST, нужно посмотреть, что осталось от майнера. Заодно можете проверить, поведение ПК, какие из симптомов остались.

 

[Oleja]

Браузер не закрывается, проц не нагружается, появился антивирус, который я пытался установить во время заражения