Ноутбук заражен Trojan.Starter.8242 и Tool.BtcMine2754

@Lida_Skripkina · Регистрация: 13.05.2024

Author24 — интернет-сервис помощи студентам

Доброго времени суток!

На днях заметила, что ноутбук через чур сильно нагревается, увеличивая обороты вентилятора.
Попробовав посмотреть что за процессы нагружают систему, открыла диспетчер задач, после чего все временно утихало, но через 2 минуты диспетчер задач сам закрылся и проблема с вентиляторами возвращалась.
Предпринимала попытки скачать антивирус Dr.web Cureit, но браузер так же закрывался сам при попытках зайти на сайт с антивирусом (в дальнейшем скачала его с другого ПК и отправила через Telegram).

Сделала по совету в интернете проверку Cureit'ом в Безопасном режиме Windows 10, и получив список файлов с вирусами Trojan.Starter.8242, Tool.BtcMine2754, DPH:Process.ExecMimic и всяческими другими удалила их (прикрепила фото, извиняюсь, что не скриншот, он перестал работать).
При переходе в обычный режим совершила ту же процедуру и обнаружила, что Trojan.Starter.8242, Tool.BtcMine2754, DPH:Process.ExecMimic восстановились, либо не удалились вовсе. Диспетчер задач, браузер а так же проводник(при попытке найти те зараженные файлы) продолжали закрываться самопроизвольно. Проблема осталась.

Далее нашла ваш форум и решила обратиться.
Логи и фото прикреплены ниже.

Заранее спасибо Вам!

@thyrex · 13.05.2024, 15:52

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

@Lida_Skripkina · 13.05.2024, 16:23 **[ТС]**

Готово, дало запустить через безопасный режим. Прикрепляю логи.

@thyrex · 13.05.2024, 19:44

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@Lida_Skripkina · 13.05.2024, 20:18 **[ТС]**

Сделано!

@thyrex · 13.05.2024, 20:41

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Код

Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-05-10 20:21 - 2024-05-10 20:21 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
2024-05-10 20:21 - 2024-05-10 20:21 - 000000000 __SHD C:\Program Files\ReasonLabs
2024-05-10 20:21 - 2024-05-10 20:21 - 000000000 __SHD C:\Program Files (x86)\Wise
CustomCLSID: HKU\S-1-5-21-3716950256-1786428812-4270444784-1001_Classes\CLSID\{d936918b-9c4b-555e-074a-c79314be04e1}\localserver32 -> "C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-3716950256-1786428812-4270444784-1001_Classes\CLSID\{e8c77137-e224-5791-b6e9-ff0305797a13}\InprocServer32 -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect64.dll => Нет файла
ShellIconOverlayIdentifiers: [      .WorkspaceExt0] -> {C568C78A-652C-425B-8E6B-FFA73043302D} =>  -> Нет файла
ShellIconOverlayIdentifiers: [      .WorkspaceExt1] -> {2A6FE247-5DA3-4732-9626-77820518FD77} =>  -> Нет файла
ShellIconOverlayIdentifiers: [      .WorkspaceExt2] -> {FF895810-293B-464A-93F2-82D11E07EEC8} =>  -> Нет файла
IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3716950256-1786428812-4270444784-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-3716950256-1786428812-4270444784-1001\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [TCP Query User{EA82D6A1-2D46-417C-A239-6ECB715DFF07}C:\users\lidaskripkina\appdata\local\programs\opera\opera.exe] => (Block) C:\users\lidaskripkina\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [UDP Query User{88815DBC-E09B-4939-B649-9232BF1D5F24}C:\users\lidaskripkina\appdata\local\programs\opera\opera.exe] => (Block) C:\users\lidaskripkina\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{EC20A3ED-AC38-47DC-93F7-5C674FCA9E4B}] => (Allow) C:\Users\LidaSkripkina\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{18722D19-33D4-4F84-B185-6E7B1532BCE6}] => (Allow) C:\Users\LidaSkripkina\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@Lida_Skripkina · 13.05.2024, 21:58 **[ТС]**

Выполнено!

@thyrex · 13.05.2024, 22:07

Проблема решена?

@Lida_Skripkina · 13.05.2024, 22:29 **[ТС]**

По моим ощущениям ноутбук прекрасно себя чувствует, как новенький!
Подскажите, видела на этом форуме в других обращениях, также советуют в завершающем этапе проверить программой SecurityCheck, надо ли это в моем случае?

@thyrex · 14.05.2024, 06:36

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

@Lida_Skripkina · 14.05.2024, 10:19 **[ТС]**

Все готово!

@thyrex · 15.05.2024, 22:47

--------------------------- [ OtherUtilities ] ----------------------------
Ghostscript GPL 10.01.2 (Msi Setup) v.10.01.2 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
NVIDIA GeForce Experience 3.27.0.120 v.3.27.0.120 Внимание! Скачать обновления
TeamViewer v.15.51.6 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat v.23.001.20174 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

по возможности исправьте указанное + Рекомендации после удаления вредоносного ПО

@Lida_Skripkina · 16.05.2024, 10:56 **[ТС]**

Дорогой thyrex!
Спасибо Вам огромное!
Вы очень сильно помогли

Желаю счастья Вам и Вашему дому!

@thyrex 13265 / 7389 / 1564 Регистрация: 06.09.2009 Сообщений: 26,953
	13.05.2024, 15:52	2
	Скачайте AV block remover. Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя). Если и так не запускается, запустите его в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки. 0

@thyrex 13265 / 7389 / 1564 Регистрация: 06.09.2009 Сообщений: 26,953
	13.05.2024, 19:44	4
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. 0

@thyrex 13265 / 7389 / 1564 Регистрация: 06.09.2009 Сообщений: 26,953
	13.05.2024, 22:07	8
	Проблема решена? 0

@Lida_Skripkina 1 / 1 / 0 Регистрация: 13.05.2024 Сообщений: 7
	13.05.2024, 22:29 [ТС]	9
	По моим ощущениям ноутбук прекрасно себя чувствует, как новенький! Подскажите, видела на этом форуме в других обращениях, также советуют в завершающем этапе проверить программой SecurityCheck, надо ли это в моем случае? 0

@thyrex 13265 / 7389 / 1564 Регистрация: 06.09.2009 Сообщений: 26,953
	14.05.2024, 06:36	10
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Прикрепите этот файл в своем следующем сообщении. 0

@thyrex 13265 / 7389 / 1564 Регистрация: 06.09.2009 Сообщений: 26,953
	15.05.2024, 22:47	12
	--------------------------- [ OtherUtilities ] ---------------------------- Ghostscript GPL 10.01.2 (Msi Setup) v.10.01.2 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ NVIDIA GeForce Experience 3.27.0.120 v.3.27.0.120 Внимание! Скачать обновления TeamViewer v.15.51.6 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ 7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat v.23.001.20174 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ по возможности исправьте указанное + Рекомендации после удаления вредоносного ПО 0

@Lida_Skripkina 1 / 1 / 0 Регистрация: 13.05.2024 Сообщений: 7
	16.05.2024, 10:56 [ТС]	13
	Дорогой thyrex! Спасибо Вам огромное! Вы очень сильно помогли Желаю счастья Вам и Вашему дому! 1