Решена Майнер, маскирующийся под taskhost.exe от Realtek HD и под nt kernel & system

Статус
В этой теме нельзя размещать новые ответы.

Olexas

Новый пользователь
Сообщения
7
Реакции
0
Здравствуйте, Подхватил майнер, маскирующийся под taskhost.exe от Realtek HD и nt kernel & system. Ровно как и в данной теме, не мог перейти по ссылке установки программы, но в конечно итоге смог ее установить, провел лечение и проблемы вроде как ушли, но для полной проверки удаления майнера прошу помощи у вас. Так же провел скан программой farbar recovery scan tool. Ниже прикрепляю архив с логами и файлы созданные данной программой.
 

Вложения

  • CollectionLog-2022.01.20-19.17.zip
    92.1 KB · Просмотры: 13
  • AV_block_remove_2022.01.20-19.02.log
    6.2 KB · Просмотры: 2
  • AV_block_remove_2022.01.20-19.06.log
    4.6 KB · Просмотры: 2
  • FRST.txt
    54 KB · Просмотры: 13
  • Addition.txt
    91.2 KB · Просмотры: 12
Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Adobe Flash Player 32 PPAPI
Bing Bar
Bonjour
Driver Easy 5.6.15.34863
IObit Uninstaller 10

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-993011908-3313084398-1910533268-1001\...\MountPoints2: {f1f2a48e-9444-11ea-b600-806e6f6e6963} - "G:\Setup.exe"
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2020-08-13]
    ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.1924\SSScheduler.exe (Нет файла)
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    S2 IObitUnSvr; C:\Program Files (x86)\IObit\IObit Uninstaller\IUService.exe [X]
    S3 WinRing0_1_2_0; \??\C:\ProgramData\WindowsTask\WinRing0x64.sys [X]
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    FirewallRules: [{BE567871-D949-4E72-A879-6CCED60137DC}] => (Allow) LPort=50248
    FirewallRules: [{09110CB7-E955-4654-9698-FB8FA2B206C8}] => (Allow) LPort=25565
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:


Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-993011908-3313084398-1910533268-1001\...\MountPoints2: {f1f2a48e-9444-11ea-b600-806e6f6e6963} - "G:\Setup.exe"
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2020-08-13]
    ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.1924\SSScheduler.exe (Нет файла)
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    S2 IObitUnSvr; C:\Program Files (x86)\IObit\IObit Uninstaller\IUService.exe [X]
    S3 WinRing0_1_2_0; \??\C:\ProgramData\WindowsTask\WinRing0x64.sys [X]
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    FirewallRules: [{BE567871-D949-4E72-A879-6CCED60137DC}] => (Allow) LPort=50248
    FirewallRules: [{09110CB7-E955-4654-9698-FB8FA2B206C8}] => (Allow) LPort=25565
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Готово
 

Вложения

  • Fixlog.txt
    5.1 KB · Просмотры: 13
Что из проблем ещё сейчас осталось?

Ещё одну проверку сделаем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Что из проблем ещё сейчас осталось?

Ещё одну проверку сделаем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
На первый взгляд проблемы пропали все. Единственное, недавно начали беспрерывно крутиться вентиляторы в блоке питания, но вроде как эта проблема появилась еще до появления майнера, так что не считая этого проблем нет. Вот логи:
 

Вложения

  • AdwCleaner[S00].txt
    1.8 KB · Просмотры: 11
Всё найденное можете удалить (поместить в карантин).
Может потребоваться перезагрузка, согласитесь. После этого появится лог очистки с именем AdwCleaner[Cxx].txt
Прикрепите его к следующему сообщению.
 
Всё найденное можете удалить (поместить в карантин).
Может потребоваться перезагрузка, согласитесь. После этого появится лог очистки с именем AdwCleaner[Cxx].txt
Прикрепите его к следующему сообщению.
 

Вложения

  • AdwCleaner[C00].txt
    1.8 KB · Просмотры: 11
Тогда можете его восстановить.

Затем - завершающие шаги:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Тогда можете его восстановить.

Затем - завершающие шаги:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Вложения

  • SecurityCheck.txt
    13.3 KB · Просмотры: 11
--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10382.20034 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
SumatraPDF v.3.1.2 Внимание! Скачать обновления
Python 3.9.0 (64-bit) v.3.9.150.0 Внимание! Скачать обновления
Python 3.8.3 (64-bit) v.3.8.3150.0 Внимание! Скачать обновления
FileZilla Client 3.53.0 v.3.53.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.90 (64-bit) v.5.90.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2112.10 Внимание! Скачать обновления
Zoom v.5.4.9 (59931.0110) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Media ] --------------------------------
Audacity 2.4.2 v.2.4.2 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.433 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Opera Stable 68.0.3618.63 v.68.0.3618.63 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.85 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
GetVideo Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Читайте Рекомендации после удаления вредоносного ПО
 
--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10382.20034 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
SumatraPDF v.3.1.2 Внимание! Скачать обновления
Python 3.9.0 (64-bit) v.3.9.150.0 Внимание! Скачать обновления
Python 3.8.3 (64-bit) v.3.8.3150.0 Внимание! Скачать обновления
FileZilla Client 3.53.0 v.3.53.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.90 (64-bit) v.5.90.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2112.10 Внимание! Скачать обновления
Zoom v.5.4.9 (59931.0110) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Media ] --------------------------------
Audacity 2.4.2 v.2.4.2 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.433 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Opera Stable 68.0.3618.63 v.68.0.3618.63 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.85 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
GetVideo Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Читайте Рекомендации после удаления вредоносного ПО
Спасибо за помощь
 
Удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу