Решена Майнер, маскирующийся под taskhost.exe от Realtek HD

Статус
В этой теме нельзя размещать новые ответы.

Fasdan

Новый пользователь
Сообщения
8
Реакции
0
Добрый день. Подхватил майнер, маскирующийся под taskhost.exe от Realtek HD. Пробовал удалять антивирусом, удаляет только трояны которые программа постоянно загружаются при запуске пк. При открытии диспетчера задач процесс периодически не видно, присутствуют системные прерывания. Большинство антивирусного ПО не даёт открыть (кроме 360 total и Dr web curelt) Последний запускал в безопасном режиме, почистил от троянов, но в ProgramData остались папки Avira, Indus, Malwarebytes без доступа и в браузерах также не пускает на сайты антивирусов и не даёт их установить.
 

Вложения

  • CollectionLog-2021.12.11-13.41.zip
    56.8 KB · Просмотры: 32
Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 
Вот
 

Вложения

  • CollectionLog-2021.12.11-14.15.zip
    51.9 KB · Просмотры: 23
  • AV_block_remove_2021.12.11-14.05.log
    8.8 KB · Просмотры: 18
Уже должно полегчать.

Два антивируса - перебор:
360 Total Security
Kaspersky Internet Security
Один оставьте, один деинсталлируйте.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Удалил касперски internet security, во время удаления приходили уведомления о запрете/разрешении удаленного доступа к пк от Realtek HD, также кричал о KMS (якобы он пытается связаться с вредоносным по)
 

Вложения

  • Addition.txt
    49.1 KB · Просмотры: 12
  • FRST.txt
    40.1 KB · Просмотры: 15
Если что время создания папок без доступа в программа дата совпадает со временем установки игры "Алеша Попович и Тугарин змей"
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1254055121-2481561225-3802100925-1001\...\MountPoints2: {85c8c261-4108-11eb-8378-1cbfc001a174} - "F:\Windows\setup.exe" /autorun
    C:\Users\Юля\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    C:\Users\Юля\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    2021-12-05 23:41 - 2021-12-05 23:41 - 000000000 ____D C:\Users\Юля\AppData\Local\xmrig
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
Fixlog
 

Вложения

  • Fixlog.txt
    3.3 KB · Просмотры: 11
Что сейчас из проблем осталось?
 
В програм дата больше нет папок, на сайты антивирусов заходит. Видимо всё. Спасибо огромное. Есть ли какой-нибудь кошелёк киви или вебмани?
 
Сначала завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Есть ли какой-нибудь кошелёк киви или вебмани?
Это не обязательно, но раз спросили:
 
вот
 

Вложения

  • SecurityCheck.txt
    11.7 KB · Просмотры: 13
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.630.19041.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.9.5 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.21.220.1024.0005 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.02 alpha (x64) v.20.02 alpha Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.310 Внимание! Скачать обновления
Zoom v.5.8.4 (1736) Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 291 (64-bit) v.8.0.2910.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
GetVideo Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу