Последствия майнера tool.btcmine.2584 — Удаление вирусов — Обсуждение 2899989
устранение вируса tool.btcmine
добрый день всем,подскажите как убрать это дерьмо с компьютера,раньше dr.web устранял без.
Последствия удаления майнера
Подхватил недавно майнер. Назывался microsofthost.exe и хранился в.
Trojan.btcmine.3571
Здравствуйте. Помогите пожалуйста избавится от trojan.btcmine.3571. Находится по пути.
Удалить Ted BtcMine.258
Пожалуйста помогите удалить это:Ted BtcMine.258. D.Web. удаляет но тут же загружается снова.
Robot Demo — Trojan.BtcMine.3571
Прошу помочь в удалении. DrWeb удаляет,но после перезагрузки снова появляется. Заранее благодарен
Robot Demo — Trojan.BtcMine.3571
Прошу помочь в удалении. DrWeb удаляет,но после перезагрузки снова появляется. Заранее благодарен
Вирус DPD:Trojan.BtcMine.1051
При включении компьютера Dr.Web постоянно находит вирус DPD:Trojan.BtcMine.1051 в папке.
trojan btcmine 3571 как удалить навсегда
RobotDemo майнер который сам себя скачивает после удаления.
Удаление майнера
Уже давно заметил что на пк установлен майнер,так как пк постоянно шумит ,видеокарта греется до.
Последствия майнера tool.btcmine.2584
Вечерком 8 ноября сего года, я наплевав на все меры безопасности установил скачанную с непроверенного торрента игру, которая оказалась с сюрпризом. Примерно через минут 10 после установки и попытки запуска я заметил, что с компьютером что-то не то. Полез в диспетчер задач, он на тот момент ещё работал корректно. В диспетчере заметил новый незнакомый процесс и парочку старых системных, но запущенных от имени пользователя. Полез гуглить, что за файл. Файл нагуглился как EternalBlue, как назывался сам процесс уже не помню. Через ДЗ я его прихлопнул, нашёл место хранения файла и удалил сам экзэшник.
Ещё минут 10 мониторинга списка процессов ничего нового не дали, но начал самопроизвольно закрываться сам ДЗ. Заранее установленный Processxp 64 повёл себя так-же, самостоятельно закрывался через некоторое время. Я понял, что запахло порохом и полез качать CureIt. Сайт Доктора Вэба открылся, я попытался скачать утилиту, но не успел. Вылезла ошибка доступа, но браузер ещё работал корректно. Я полез в файл Hosts смотреть исключения и нашёл там кучу записей, которые я не создавал. Там были ссылки на сайты всех производителей антивирусов и прочего подобного софта. Лишние записи я потёр, сайт Доктора Вэба начал открываться, но уже начал вылетать сам браузер.
С момента заражения прошло минут 30. На этом этапе я уже обливаясь потом выдернул сетевой кабель из разъёма, скачал на телефон CureIt и через usb шланг залил утилиту на компьютер. Результаты её деятельности можно увидеть на фото. Я был в панике от мысли, что компьютер на глазах превращается в тыкву, так что за расфокусировку прошу прощения.
Кликните здесь для просмотра всего текста
Некоторые файлы системные, кроме первого и, насколько я понял, перемещены в карантин.
Дальше у меня возникли вопросы к установленному антивирусу: А, собственно, какого дьявола? Выяснилось, что антивирус всё это время пускал пузыри из носа и игрался в песочек. Запустить его через диспетчер в трее у меня не удалось, а при запуске через ярлык в Пуске он радостно вылетел с ошибкой через пару секунд работы. Но в диспетчере задач он всё это время отображался.
Дальше я полез в гугл и попытался скачать что нибудь ещё. Единственное, что у меня запустилось — это adwcleaner. Результаты его работы вот:
Кликните здесь для просмотра всего текста
Всё остальное отказалось даже устанавливаться. Через Total Commander с отображением скрытых файлов я увидел, что в обеих папках Program Files есть куча новых папок с названиями всех антивирусов. Папки как забетонированные, ничего сделать с ними не могу, даже открыть. На одном из скриншотов это видно. Так же появилось куча всего нового по всему системному разделу, второй раздел диска вроде чист. Прикладываю скрины, красным выделены новые папки, на первом скрине папка adwcleaner от моей запущенной утилиты, остальное действия вируса:
Кликните здесь для просмотра всего текста
Два дня компьютер вообще не трогал, только сегодня зарегистрировался здесь, очень прошу помощи. Систему переустанавливать не вариант вообще, очень много всего установлено и настроено.
Прикладываю логи. В мануале написано, что нужно отключить антивирус и Защитник Windows. Защитник выключил, а Авира сотрудничать не хочет. В списке процессов постоянно висят Avira.Optimizer Host*32.exe и Avira.SoftwareUpdater.ServiceHost*32.exe. При попытке прибить их, запускаются автоматически, отключить не могу. Запустил Autologger так.
Благодарю за внимание.
Лучшие ответы ( 1 )
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
Ответы с готовыми решениями:
устранение вируса tool.btcmine
добрый день всем,подскажите как убрать это дерьмо с компьютера,раньше dr.web устранял без.
Последствия удаления майнера
Подхватил недавно майнер. Назывался microsofthost.exe и хранился в.
Trojan.btcmine.3571
Здравствуйте. Помогите пожалуйста избавится от trojan.btcmine.3571. Находится по пути.
Удалить Ted BtcMine.258
Пожалуйста помогите удалить это:Ted BtcMine.258. D.Web. удаляет но тут же загружается снова.
21567 / 15518 / 2989
Регистрация: 08.10.2012
Сообщений: 63,089
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером.
Регистрация: 11.11.2021
Сообщений: 6
Мусор вроде удалился, Авира всё так-же в нокауте.
Кликните здесь для просмотра всего текста
21567 / 15518 / 2989
Регистрация: 08.10.2012
Сообщений: 63,089
Сообщение от Sandor
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.
Ещё этот, пожалуйста.
Сообщение от 0_troj_0
Авира всё так-же в нокауте
Переустановите с зачисткой, т.е. сначала удалите стандартно. Затем удалите хвосты по соотв. инструкции:
Чистка системы после некорректного удаления антивируса
Решена Как удалить Malware после Tool.Btcmine.2584 ?
День добрый, вчера заподозрил ноутбук в удаленном майнинге (подменял ссылку кошелька в буфере обмена, быстро разряжался, частоты зашкаливали без видимых причин, страницы антивирусов закрывались).
С помощью dr web, avz, autologger и frst убрал видимые моему глазу подозрительные файлы, почистил hosts, в том числе убрал tool.btcmine.2584.
Но столкнулся с проблемой при установке malware (попросту не встал нормально) и теперь выдает ошибку при удалении. Знаю, что некоторые на форуме уже сталкивались с подобным. Прошу помощи, спасибо!
Вложения
52 KB · Просмотры: 9
avz_log.txt
6.1 KB · Просмотры: 0
AV_block_remove_2022.04.17-13.45.log
6 KB · Просмотры: 0
52 KB · Просмотры: 9
Addition.txt
76.8 KB · Просмотры: 8
IMG_20220417_141252.jpg
146.9 KB · Просмотры: 35
avz_log.txt
6.1 KB · Просмотры: 0
AV_block_remove_2022.04.17-13.45.log
6 KB · Просмотры: 0
Addition.txt
76.8 KB · Просмотры: 9
akok
Команда форума
Администратор
Ассоциация VN
Сообщения 24,722 Реакции 13,567
https://support.malwarebytes.com/hc. warebytes-using-the-Malwarebytes-Support-Tool — попробуйте в безопасном режиме почистить следы. Логи когда собирали? После манипуляций своих?
Dmitry Go
Новый пользователь
Сообщения 5 Реакции 0
Да, это уже свежие.
То есть пройтись тем же самым только в безопасном?
Dmitry Go
Новый пользователь
Сообщения 5 Реакции 0
Увидел ссылку выше, сейчас попробую
Dmitry Go
Новый пользователь
Сообщения 5 Реакции 0
https://support.malwarebytes.com/hc. warebytes-using-the-Malwarebytes-Support-Tool — попробуйте в безопасном режиме почистить следы. Логи когда собирали? После манипуляций своих?
После запуска и нажатия на clean — помощник закрывается через две секунды
akok
Команда форума
Администратор
Ассоциация VN
Сообщения 24,722 Реакции 13,567
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Start:: SystemRestore: On CreateRestorePoint: HKLM\. \Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) "C:\Users\gorod\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --no-startup-window --atlogin-bgr-mark /prefetch:5 (Нет файла) HKU\S-1-5-21-434444586-301166530-3283717098-1001\. \MountPoints2: - "F:\Autoplay.exe" -auto HKU\S-1-5-21-434444586-301166530-3283717098-1001\. \MountPoints2: - "D:\HiSuiteDownLoader.exe" HKU\S-1-5-21-434444586-301166530-3283717098-1001\. \MountPoints2: - "E:\HiSuiteDownLoader.exe" HKU\S-1-5-21-434444586-301166530-3283717098-1001\. \MountPoints2: - "D:\HiSuiteDownLoader.exe" HKU\S-1-5-21-434444586-301166530-3283717098-1001\. \MountPoints2: - "D:\HiSuiteDownLoader.exe" HKU\S-1-5-21-434444586-301166530-3283717098-1001\. \MountPoints2: - "D:\HiSuiteDownLoader.exe" 2022-04-17 10:52 - 2022-04-17 12:43 - 000002044 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk 2022-04-17 10:52 - 2022-04-17 10:52 - 000248992 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys 2022-04-17 10:52 - 2022-04-17 10:51 - 000160176 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbae64.sys 2022-04-17 10:52 - 2022-04-17 10:51 - 000019912 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamElam.sys 2022-04-17 12:43 - 2022-02-02 21:36 - 000000000 ____D C:\ProgramData\Malwarebytes 2022-04-17 12:43 - 2022-02-02 21:36 - 000000000 ____D C:\Program Files\Malwarebytes ContextMenuHandlers6: [MBAMShlExt] -> => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2022-04-17] (Доступ не разрешён) [Файл не подписан] EmptyTemp: Reboot: End::
После выполнения скрипта скачайте утилиту для удаления Malwarebytes и зачистите следы, и/или попробуйте установить программу заново.
Trojan.BtcMine.1369 + Tool.BtcMine.389
Отправлено 21 Июль 2017 — 10:24
Столкнулся с такой проблемой как майнер. Подменяет процесс svchost.exe и начинает грузить CPU на 100%. CureIt находит майнер, удаляет. Через sfc /scannow восстанавливаю системные файлы. Всё примерно сутки работает в штатном режиме, потом эта зараза опять появляется. Чистил и локальный temp и пользовательский. Стоит Dr. Web сканер. Но эта зараза как то пролазит. Уже устал бороться, 3 день воюю, а люди нормально на терминалке работать не могут. Логи приложил. Помогите найти дыру. Пароли стоят сложные у пользователей. Порт не стандартный. И его я вчера поменял, но сегодня утром опять майнер.
#2 Dr.Robot
Отправлено 21 Июль 2017 — 10:24
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить.
- В появившемся окне наберите cmdи нажмите клавишу . Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>»%userprofile%\ipc.log» и нажмите клавишу , затем наберите там же команду explorer.exe /select,»%userprofile%\ipc.log» и нажмите клавишу , нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.