Решена Майнер COM SURROGATE / Realtek HD

Статус
В этой теме нельзя размещать новые ответы.

Borealis

Новый пользователь
Сообщения
7
Реакции
1
Добрый день.
Проблема как в нескольких топиках ниже, поймал майнер который нагружает проц.
Предварительно собрать лог AutoLogger'ом не удалось, только в безопасном режиме. Там же и был запущен AVbr, запустил не с помощью переименования, а путем удаления политики в реестре.
После перезагрузки собрал все логи еще раз. На данный момент все стабильно, но процесс так и остался висеть. Взгляните пожалуйста на результат.
 

Вложения

  • AV_block_remove_2022.09.04-13.24.log
    9.7 KB · Просмотры: 4
  • AV_block_remove_2022.09.04-13.33.log
    6.8 KB · Просмотры: 1
  • CollectionLog-2022.09.04-13.30.zip
    95.1 KB · Просмотры: 4
Последнее редактирование:
upd: добавил лог Autologger, почему то не подгрузил сразу.
 
Последнее редактирование:
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\StartupApproved\Run: [DAEMON Tools Ultra Agent] = C:\Program Files\DAEMON Tools Ultra\DTAgent.exe -autorun (file missing) (2022/01/16)
O4 - HKCU\..\StartupApproved\Run: [DAEMON Tools Ultra Automount] = C:\Program Files\DAEMON Tools Ultra\DTAgent.exe -autorun (file missing) (2022/01/16)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Пофиксил в HiJackThis эти строки.

Отчеты Farbar.
 

Вложения

  • Addition.txt
    56.4 KB · Просмотры: 3
  • FRST.txt
    53 KB · Просмотры: 3
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2817283806-4047137719-3442566929-1001\...\MountPoints2: {2f136059-795e-11ec-8f7d-b40ede31ebbe} - "I:\autorun.exe" 
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2817283806-4047137719-3442566929-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    C:\Users\a-tor\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
    FirewallRules: [{9F397FC4-633C-4855-ACF2-D5980379CA63}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{CE1E4074-69F4-4BF0-BBA3-4AB0942FF83C}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{DDD509E8-C4E8-4A91-8E23-64DAAEDB14CC}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{C36323A9-07A4-49F0-B234-F263BE005665}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{A7BDCF81-2518-47BD-8695-1745A61FB795}] => (Allow) LPort=8029
    FirewallRules: [{E1629DF2-E384-421B-8A24-24AF05DDF36E}] => (Allow) LPort=8029
    FirewallRules: [{13BD5028-E403-47EE-B537-5ACDCE5DB3F2}] => (Allow) LPort=8029
    FirewallRules: [{1E33BAF9-13AB-45A1-A755-F78D04E33AD0}] => (Allow) LPort=8029
    FirewallRules: [{1E00A94A-D922-43B1-B4F0-5B8C1E160A58}] => (Allow) LPort=8029
    FirewallRules: [{FA9457D9-21DB-437E-9262-2C94F44DDC0A}] => (Allow) LPort=8029
    FirewallRules: [{2E0505F1-275A-4971-A92E-EDB01C724824}] => (Allow) LPort=8029
    FirewallRules: [{1A79652A-AA99-41CA-88C4-2BD8874BB200}] => (Allow) LPort=8029
    FirewallRules: [{B52D6BA0-9B2B-4F33-BD04-811669DEB7D8}] => (Allow) LPort=8029
    FirewallRules: [{365F7D77-CACC-4DD4-B046-FE4225A85E20}] => (Allow) LPort=8029
    FirewallRules: [{8BFE38FD-01BD-4923-947F-FF30187A72A2}] => (Allow) LPort=8029
    FirewallRules: [{41B5CB92-34F0-42F5-B574-3A6BF60188F4}] => (Allow) LPort=8029
    FirewallRules: [{004F0D16-A24E-4B74-BE03-613189591D0B}] => (Allow) LPort=8029
    FirewallRules: [{52744B40-D332-439B-9CE4-5812DEF7050B}] => (Allow) LPort=8029
    FirewallRules: [{64C1212E-69DE-4F42-B182-BDEC012394A0}] => (Allow) LPort=8029
    FirewallRules: [{F7B357AB-0E86-4A20-8E2E-FA932DA14DF7}] => (Allow) LPort=8029
    FirewallRules: [{35B30D7A-A0D2-4C65-8BC1-C6835EB3FF8C}] => (Allow) LPort=8029
    FirewallRules: [{5CC6F1F6-4BFF-4FD7-9869-39101CE3E5BA}] => (Allow) LPort=8029
    FirewallRules: [{049E1805-576C-4CD1-A3FF-140AD2EE9BD5}] => (Allow) LPort=8029
    FirewallRules: [{4E198131-E108-4709-ACDA-EEDCEE03CC1A}] => (Allow) LPort=8029
    FirewallRules: [{EA3B4CA6-4C84-477F-BCF6-F306249DD0D6}] => (Allow) LPort=8029
    FirewallRules: [{0E356907-2F45-46B7-9872-3F803EE16C8C}] => (Allow) LPort=8029
    FirewallRules: [{306534BB-B3A2-4017-B551-C7751E01ABDB}] => (Allow) LPort=8029
    FirewallRules: [{E8B26000-40E7-44E8-A4BE-1C5982D973BD}] => (Allow) LPort=8029
    FirewallRules: [{A5753220-09F4-4BA5-865D-FD28859BE160}] => (Allow) LPort=1688
    FirewallRules: [{08D70C89-9317-420D-B9C4-4836FAB5C678}] => (Allow) LPort=8029
    FirewallRules: [{16728DAE-12B3-461C-B676-52505876C684}] => (Allow) LPort=8029
    FirewallRules: [{2EA82313-E627-4584-B62F-5C2F9942B1B2}] => (Allow) LPort=8029
    FirewallRules: [{728846FD-7B45-4848-8B8E-82950EC7EFB0}] => (Allow) LPort=8029
    FirewallRules: [{4E40558B-DFA9-45BA-A795-9A8ACE70146A}] => (Allow) LPort=8029
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Сделано
 

Вложения

  • Fixlog.txt
    12.8 KB · Просмотры: 4
Проблема решена?
 
В процессах все равно висит два СOM SURROGATE. Но в целом все работает без нареканий, никаких следов активного майнинга.

При переходе в расположение файла и попытку их удалить выводит фразу: запросите разрешение от "TrustedInstaller" для изменения этого файла.
 
Это легитимный процесс, пытаться удалить не нужно.

в целом все работает без нареканий
Хорошо, завершаем:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
сделано
 

Вложения

  • SecurityCheck.txt
    8.9 KB · Просмотры: 2
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.25.8 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.20.3.63 v.3.20.3.63 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.01 (64-разрядная) v.6.01.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.9.3 (3169) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46348 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.16 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.21.001.20145 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.0.0.10 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


По возможности исправьте указанное. Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу