Закрыто майнер Realtek HD + taskhostw

[demonolog1st]

майнер Realtek HD + taskhostw который закрывает всё что может, антивирусы не помогают, сам отключает инет, диспетчер, браузеры и тд, нормально пользоваться пк могу только в Безопасном Режиме, скан через FRST и логи прилагаются

 

[demonolog1st]

avz + FRST новый

 

[demonolog1st]

всё интересней, у меня теперь интернет работает только в безопасном режиме, в обычном ничего не работает

 

[Sandor]

Здравствуйте!

Автологер запускали после работы AVbr или до?

Если "до", запустите его ещё раз, только не с "Рабочего стола", а из корня диска C или D (или G)
Новый CollectionLog прикрепите.

 

[demonolog1st]

вроде как после, но вирус уже перестал подавать признаки жизни, единственное хотелось бы убедиться, что он умер окончательно, проблема с интернетом тоже решенa

upd. неизвестных пользователей система больше тоже не видит, только защитник винды нашёл какой то бэкдор, что меня весьма удивило
upd2. автологер запускал раньше, ещё нужно?

 

[Sandor]

Всё же сделайте новый архив CollectionLog, пожалуйста.

 

[demonolog1st]

прошу

 

[Sandor]

Кое-что нужно почистить.

1. Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

2. "Пофиксите" в HijackThis только следующие строки:

O4 - HKCU\..\StartupApproved\Run: [csrss] = C:\WINDOWS\rss\csrss.exe (file missing) (2024/05/14)
O4 - HKCU\..\StartupApproved\Run: [Discord] = "C:\Users\НИКИТА\AppData\Local\Discord\Update.exe" --processStart Discord.exe (file missing) (2024/02/13)
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Перезагрузите компьютер.

3. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

gt-launcher 5.1.5
Java 8 Update 51 (64-bit) - если нужна, позже установите актуальную версию

4. Новые логи Farbar Recovery Scan Tool сделайте.
Не забывайте про лог Addition.txt, он тоже нужен для анализа.

 

[demonolog1st]

O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

не могу его найти

 

[Sandor]

Пропустите эту строку и делайте остальное.

 

[demonolog1st]

прошу

 

[akok]

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ - сами ограничили?


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Task: {0c70fc67-a2e0-458e-bf33-1e83d17726a9} - отсутствует путь к файлу. <==== ВНИМАНИЕ
  Task: {1e4fa8be-3080-4f8f-b5f7-9f7a620e8bc5} - отсутствует путь к файлу. <==== ВНИМАНИЕ
  Task: {339e61d2-bd4b-4c58-9d87-508b39db2c18} - отсутствует путь к файлу. <==== ВНИМАНИЕ
  Task: {e3ff7cfa-0f3c-466d-bd71-3d1caf69a05d} - отсутствует путь к файлу. <==== ВНИМАНИЕ
  FCheck: C:\WINDOWS\SysWOW64\wfs.exe [2024-12-10] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  FCheck: C:\WINDOWS\SysWOW64\WFSR.dll [2024-12-10] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[demonolog1st]

не сам ограничивал, но если это просто отключает обновления, то я не против

 

[Sandor]

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Прикрепите.

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!