Решена Майнер в процессе taskhostw.exe маскируется под Realtek HD Audio

Статус
В этой теме нельзя размещать новые ответы.

Sapper

Новый пользователь
Сообщения
7
Реакции
0
Добрый день.
В простое на проце нагрузка в 50% обнаруживается на графике в AIDA64. При запуске Диспетчера задач нагрузка спадает (скрывается из обнаружения), но можно успеть заметить, что нагрузка была процессом "NT kernel". Сначала не пускал на сайт скачать Cureit, почистил файл host.
Cureit убивал taskhostw.exe в C:\ProgramData\WindowsTask или C:\ProgramData\RealtekHD\ иногда в той же папке убивался AMD.exe.
В реестре в автозапуске висел "Realtek HD Audio" C:\ProgramData\RealtekHD\taskhostw.exe
После того, как cureit больше не обнаруживает заражения невозможно запустить установочник антивируса (KIS)
Через некоторое время или после перезагрузки может снова появиться taskhostw.exe
Kaspersky Virus Removal Tool тоже убивал его, но установочник всё равно не запустить.
 

Вложения

  • CollectionLog-2022.07.27-22.12.zip
    145.2 KB · Просмотры: 9

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,528
Реакции
6,595
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 

Sapper

Новый пользователь
Сообщения
7
Реакции
0
Farbar Recovery Scan Tool
не даёт запускать с сообщением (скрин). С таким же сообщением не даёт запускать tdsskiller.exe от касперского





Снимок.JPG
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,766
Реакции
14,255
Нужно запускать не FRST а утилиту. Сделали?
 

Sapper

Новый пользователь
Сообщения
7
Реакции
0
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Эту запустил
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,766
Реакции
14,255
А результат работы не прикрепили. Попробуйте переименовать FRST.
 

Sapper

Новый пользователь
Сообщения
7
Реакции
0
лог
 

Вложения

  • AV_block_remove_2022.07.27-22.59.log
    9.5 KB · Просмотры: 6

Sapper

Новый пользователь
Сообщения
7
Реакции
0
логи
 

Вложения

  • FRST.txt
    71.7 KB · Просмотры: 6
  • Addition.txt
    243.8 KB · Просмотры: 5

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,766
Реакции
14,255
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2180117498-436784380-4259682162-1001\...\Policies\Explorer: [] 
    HKU\S-1-5-21-2180117498-436784380-4259682162-1001\...\MountPoints2: {3100e6e3-0700-11ec-b007-5e9aa6fba9f6} - "P:\setup.exe" 
    HKU\S-1-5-21-2180117498-436784380-4259682162-1001\...\MountPoints2: {d0c1ddb5-8e64-11eb-afd1-5e9aa6fba9f6} - "P:\setup.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {400DC0CA-167A-46DE-ACE8-1A0E94AE7103} - System32\Tasks\NiceHashMiner => C:\0000\NHML-1.8.1.5\NiceHashMinerLegacy.exe (Нет файла)
    Task: {E53384A9-6355-4553-8F9E-1802D0B11104} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2022-07-27] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
    FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2022-07-27] <==== ВНИМАНИЕ
    CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{71A728BB-0769-4F45-9880-2BABA2C6FD35}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.157.61\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{9AAF0EB6-42D8-46C1-A2EF-679511B37A0D}\localserver32 -> I:\Program Files\Autodesk\AutoCAD 2018\acad.exe /Automation => Нет файла
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{9CCE22DC-79C6-42A2-B005-864842A35AF3}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.155.77\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{B6EB585B-B467-4E46-A9C7-48D7D6FD26CB}\localserver32 -> I:\Program Files\Autodesk\AutoCAD 2018\acad.exe => Нет файла
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{C186B914-C8E6-468F-9AEF-052F801AAD0C}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.155.85\psuser_64.dll => Нет файла
    AlternateDataStreams: C:\Users\Sapper:Heroes & Generals [38]
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
    AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [314]
    FirewallRules: [{1DE0CD29-03BF-443E-BB8A-298061E449A6}] => (Allow) J:\Games\Steam\steamapps\common\Satisfactory\FactoryGame.exe => Нет файла
    FirewallRules: [{D6D348CC-7759-44B3-8A06-7E8132B32682}] => (Allow) J:\Games\Steam\steamapps\common\Satisfactory\FactoryGame.exe => Нет файла
    FirewallRules: [{BCEFE6DA-6DEA-48CA-AD8B-A2F643C0A81D}] => (Allow) J:\Games\Steam\steamapps\common\Eco\Eco.exe => Нет файла
    FirewallRules: [{C2C23299-009A-47E7-984A-6DD410F322D7}] => (Allow) J:\Games\Steam\steamapps\common\Eco\Eco.exe => Нет файла
    FirewallRules: [{B3136A6F-1EA3-4263-9C5D-7AF73D2A4200}] => (Allow) LPort=3000
    FirewallRules: [{B94DEB6F-42DE-42B2-8A72-1F8522C6E09A}] => (Allow) LPort=3001
    FirewallRules: [{5CEB7FD2-E479-4E44-8D64-A37B67A76EFE}] => (Allow) G:\Games\Steam\steamapps\common\Eco\Eco.exe => Нет файла
    FirewallRules: [{541907A2-ACBE-426F-A5AB-29680A81C710}] => (Allow) G:\Games\Steam\steamapps\common\Eco\Eco.exe => Нет файла
    FirewallRules: [{8205E683-6240-4C08-B068-3DD3FE962DA2}] => (Allow) G:\Games\Steam\steamapps\common\Project Zomboid Dedicated Server\ProjectZomboid64.exe => Нет файла
    FirewallRules: [{61CC7590-6D80-4FEB-8D91-8BC88BDBF98E}] => (Allow) G:\Games\Steam\steamapps\common\Project Zomboid Dedicated Server\ProjectZomboid64.exe => Нет файла
    FirewallRules: [{F8326EB3-B24B-44C1-8D6C-888B7EFFC9DB}] => (Allow) J:\Games\Steam\steamapps\common\Grand Theft Auto V\PlayGTAV.exe => Нет файла
    FirewallRules: [{DFDFC3FC-84C1-42FB-9411-C43E5331208C}] => (Allow) J:\Games\Steam\steamapps\common\Grand Theft Auto V\PlayGTAV.exe => Нет файла
    FirewallRules: [{EE2B5DC1-447D-4F97-8983-02EA5865A825}] => (Allow) J:\Games\Steam\steamapps\common\Grand Theft Auto V\GTAVLauncher.exe => Нет файла
    FirewallRules: [{47C68DE2-A4E6-4BD1-AE91-D43AFDCF0859}] => (Allow) J:\Games\Steam\steamapps\common\Grand Theft Auto V\GTAVLauncher.exe => Нет файла
    FirewallRules: [{95387425-ED5C-4EEC-949E-7759F5DE5853}] => (Allow) J:\Games\Steam\steamapps\common\Life is Feudal Your Own\yo_cm_client.exe => Нет файла
    FirewallRules: [{3360F1D2-0BE8-40BD-89EC-4D3C875E14A0}] => (Allow) J:\Games\Steam\steamapps\common\Life is Feudal Your Own\yo_cm_client.exe => Нет файла
    FirewallRules: [{AFE18213-117C-4371-925F-9FBB16AC5C45}] => (Allow) I:5\Games\Steam\steamapps\common\Life is Feudal Your Own\yo_cm_client.exe => Нет файла
    FirewallRules: [{3DAB5B23-62D6-4C42-9484-A917A35A4A57}] => (Allow) I:5\Games\Steam\steamapps\common\Life is Feudal Your Own\yo_cm_client.exe => Нет файла
    FirewallRules: [{63DE3CFB-C404-455A-818B-2597F82EF093}] => (Allow) I:5\Games\Steam\steamapps\common\War Thunder\launcher.exe => Нет файла
    FirewallRules: [{3901DDD1-B368-4429-809F-CBEB01BE71BF}] => (Allow) I:5\Games\Steam\steamapps\common\War Thunder\launcher.exe => Нет файла
    FirewallRules: [{E0B47C50-DEA8-4CEB-A968-0F5A7B0C75DF}] => (Allow) G:\Games\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
    FirewallRules: [{A1AFDE78-840A-44D6-AD17-331460DEC4F5}] => (Allow) G:\Games\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
    FirewallRules: [TCP Query User{4C6330EF-672A-4FCA-9D3F-70065C99189A}C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe] => (Allow) C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe => Нет файла
    FirewallRules: [UDP Query User{822272E0-5CD5-4DF0-ACCA-01DA171B3053}C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe] => (Allow) C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe => Нет файла
    FirewallRules: [{7E68DFEC-C0F9-45B0-821C-33C8293E1CCD}] => (Block) C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe => Нет файла
    FirewallRules: [{260720FF-768F-4807-A639-1C73C1DF2536}] => (Block) C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe => Нет файла
    FirewallRules: [TCP Query User{7FAD54F2-D704-469A-9297-A3BBC9DE4E71}D:\games\survive the nights\survivethenights_win.exe] => (Allow) D:\games\survive the nights\survivethenights_win.exe => Нет файла
    FirewallRules: [UDP Query User{020396E1-D99F-4E58-A8FB-1C1B6C2E33CE}D:\games\survive the nights\survivethenights_win.exe] => (Allow) D:\games\survive the nights\survivethenights_win.exe => Нет файла
    FirewallRules: [{6E1EB9ED-49AD-4E0D-BBB3-50054303B594}] => (Block) D:\games\survive the nights\survivethenights_win.exe => Нет файла
    FirewallRules: [{FB3CE5A5-BD00-4F80-841F-FF4F330F3479}] => (Block) D:\games\survive the nights\survivethenights_win.exe => Нет файла
    FirewallRules: [TCP Query User{A029AAD9-120F-4337-8021-FF91CA403B42}D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe] => (Allow) D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe => Нет файла
    FirewallRules: [UDP Query User{360E003D-A810-4835-AE4B-FCE9078353E0}D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe] => (Allow) D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe => Нет файла
    FirewallRules: [{01F60D3B-B567-4144-8A03-F3F3486F0848}] => (Block) D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe => Нет файла
    FirewallRules: [{3C09345E-EBC2-4244-9430-E79F239963A5}] => (Block) D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe => Нет файла
    FirewallRules: [{965E5333-3C98-49CA-82FB-4680C1DFF7CD}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{CFDC69D3-8CCD-49D4-801D-2DD078F6FC70}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sapper

Новый пользователь
Сообщения
7
Реакции
0
log
 

Вложения

  • Fixlog.txt
    20.8 KB · Просмотры: 4

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,095
Реакции
2,886
Проблема решена?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,528
Реакции
6,595
Farbar Recovery Scan Tool
не даёт запускать с сообщением (скрин). С таким же сообщением не даёт запускать tdsskiller.exe от касперского





Посмотреть вложение 62128
Потому что выполнять рекомендации надо в том порядке, что дают. Пока через AVbr не пролечили те утилиты и не смогли бы запустить.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,213
Реакции
2,656
Папку C:\Users\Sapper\AppData\Roaming\RMS_settings удалите вручную
 
  • Like
Реакции: akok

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,095
Реакции
2,886
Папку C:\Users\Sapper\AppData\Roaming\RMS_settings удалите вручную
Не забудьте.

В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу