CoinMiner

[barrywild]

Доброго времени суток! Обращаюсь к вам за помощью.
Чувствую, что моя машина стала жертвой майнинга. Антивирус НОД32 выдает вирус CoinMiner. Из-за чего повышена температура процессора, плюс постоянные баги с браузерами. Помогите избавиться от данной напасти, вроде бы все самостоятельно пошерстил, но на большее мозгов не хватает.
Прикрепляю файл лога, сделанного AutoLogger
Спасибо заранее, надеюсь на ответ.

[Info_bot]

Уважаемый(ая) barrywild, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

[barrywild]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

Sandor, Проверил систему AV_block_remover. Проверка доходит до ошибок в файле hosts, предлагает устранить ее, заменив файл на стандартный, на этом система перезагружается. Не знаю должно быть так или нет. Но все же, после этого автологером сделал проверку.
Отчеты по обеим проверкам прикрепляю в сообщении.

[Sandor]

Да, так и задумано.
По сравнению с первыми логи выглядят уже значительно лучше.

Программу Ace Stream Media 3.1.32 ставили самостоятельно?
Если да, на время лечения деинсталлируйте её.

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.



Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.


p.s.
Не нужно полностью цитировать предыдущее сообщение. Используйте форму быстрого ответа внизу.

[barrywild]

Высылаю отчеты.

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-212003640-1765008058-3636259844-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-212003640-1765008058-3636259844-1003\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  FF Extension: (Ace Script) - C:\Users\barrywild\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2018-11-26]
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=855103"
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.


Обратите внимание на ошибку:

Error: (04/28/2022 09:41:40 AM) (Source: Server) (EventID: 2505) (User: )
Description: Невозможно привязать сервер к транспорту \Device\NetBT_Tcpip_{7A60DE4A-CF43-4786-803E-26711F769528}, так как другой компьютер в сети имеет совпадающее имя. Запуск сервера невозможен.

[barrywild]

Насколько я понял код из поста выше надо просто скопировать. Или тоже использовать в программе?
Если просто скопировать, то прикрепляю лог

[Sandor]

Да, скопировать достаточно, он выполнился из буфера обмена.

Проблема решена?

[barrywild]

Насколько я могу судить по работе системы, то решена: вирусы не находит, диспетчер задач не вылетает, антивирус (любой, кроме уже установленного) скачивается. Сам ноутбук стал работать тише, а, значит, ничего ее не напрягает.
Большое спасибо! Поддержу проект!

[Sandor]

Извините за поздний ответ.

Насколько я могу судить по работе системы, то решена

Отлично!

Завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.