Решена Майнер в процессе taskhostw.exe маскируется под Realtek HD Audio

Статус
В этой теме нельзя размещать новые ответы.

Sapper

Новый пользователь
Сообщения
7
Реакции
0
Добрый день.
В простое на проце нагрузка в 50% обнаруживается на графике в AIDA64. При запуске Диспетчера задач нагрузка спадает (скрывается из обнаружения), но можно успеть заметить, что нагрузка была процессом "NT kernel". Сначала не пускал на сайт скачать Cureit, почистил файл host.
Cureit убивал taskhostw.exe в C:\ProgramData\WindowsTask или C:\ProgramData\RealtekHD\ иногда в той же папке убивался AMD.exe.
В реестре в автозапуске висел "Realtek HD Audio" C:\ProgramData\RealtekHD\taskhostw.exe
После того, как cureit больше не обнаруживает заражения невозможно запустить установочник антивируса (KIS)
Через некоторое время или после перезагрузки может снова появиться taskhostw.exe
Kaspersky Virus Removal Tool тоже убивал его, но установочник всё равно не запустить.
 

Вложения

  • CollectionLog-2022.07.27-22.12.zip
    145.2 KB · Просмотры: 21
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 
Farbar Recovery Scan Tool
не даёт запускать с сообщением (скрин). С таким же сообщением не даёт запускать tdsskiller.exe от касперского





Снимок.JPG
 
Нужно запускать не FRST а утилиту. Сделали?
 
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Эту запустил
 
А результат работы не прикрепили. Попробуйте переименовать FRST.
 
лог
 

Вложения

  • AV_block_remove_2022.07.27-22.59.log
    9.5 KB · Просмотры: 22
логи
 

Вложения

  • FRST.txt
    71.7 KB · Просмотры: 10
  • Addition.txt
    243.8 KB · Просмотры: 6
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2180117498-436784380-4259682162-1001\...\Policies\Explorer: [] 
    HKU\S-1-5-21-2180117498-436784380-4259682162-1001\...\MountPoints2: {3100e6e3-0700-11ec-b007-5e9aa6fba9f6} - "P:\setup.exe" 
    HKU\S-1-5-21-2180117498-436784380-4259682162-1001\...\MountPoints2: {d0c1ddb5-8e64-11eb-afd1-5e9aa6fba9f6} - "P:\setup.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {400DC0CA-167A-46DE-ACE8-1A0E94AE7103} - System32\Tasks\NiceHashMiner => C:\0000\NHML-1.8.1.5\NiceHashMinerLegacy.exe (Нет файла)
    Task: {E53384A9-6355-4553-8F9E-1802D0B11104} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2022-07-27] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
    FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2022-07-27] <==== ВНИМАНИЕ
    CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{71A728BB-0769-4F45-9880-2BABA2C6FD35}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.157.61\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{9AAF0EB6-42D8-46C1-A2EF-679511B37A0D}\localserver32 -> I:\Program Files\Autodesk\AutoCAD 2018\acad.exe /Automation => Нет файла
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{9CCE22DC-79C6-42A2-B005-864842A35AF3}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.155.77\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{B6EB585B-B467-4E46-A9C7-48D7D6FD26CB}\localserver32 -> I:\Program Files\Autodesk\AutoCAD 2018\acad.exe => Нет файла
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{C186B914-C8E6-468F-9AEF-052F801AAD0C}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.155.85\psuser_64.dll => Нет файла
    AlternateDataStreams: C:\Users\Sapper:Heroes & Generals [38]
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
    AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [314]
    FirewallRules: [{1DE0CD29-03BF-443E-BB8A-298061E449A6}] => (Allow) J:\Games\Steam\steamapps\common\Satisfactory\FactoryGame.exe => Нет файла
    FirewallRules: [{D6D348CC-7759-44B3-8A06-7E8132B32682}] => (Allow) J:\Games\Steam\steamapps\common\Satisfactory\FactoryGame.exe => Нет файла
    FirewallRules: [{BCEFE6DA-6DEA-48CA-AD8B-A2F643C0A81D}] => (Allow) J:\Games\Steam\steamapps\common\Eco\Eco.exe => Нет файла
    FirewallRules: [{C2C23299-009A-47E7-984A-6DD410F322D7}] => (Allow) J:\Games\Steam\steamapps\common\Eco\Eco.exe => Нет файла
    FirewallRules: [{B3136A6F-1EA3-4263-9C5D-7AF73D2A4200}] => (Allow) LPort=3000
    FirewallRules: [{B94DEB6F-42DE-42B2-8A72-1F8522C6E09A}] => (Allow) LPort=3001
    FirewallRules: [{5CEB7FD2-E479-4E44-8D64-A37B67A76EFE}] => (Allow) G:\Games\Steam\steamapps\common\Eco\Eco.exe => Нет файла
    FirewallRules: [{541907A2-ACBE-426F-A5AB-29680A81C710}] => (Allow) G:\Games\Steam\steamapps\common\Eco\Eco.exe => Нет файла
    FirewallRules: [{8205E683-6240-4C08-B068-3DD3FE962DA2}] => (Allow) G:\Games\Steam\steamapps\common\Project Zomboid Dedicated Server\ProjectZomboid64.exe => Нет файла
    FirewallRules: [{61CC7590-6D80-4FEB-8D91-8BC88BDBF98E}] => (Allow) G:\Games\Steam\steamapps\common\Project Zomboid Dedicated Server\ProjectZomboid64.exe => Нет файла
    FirewallRules: [{F8326EB3-B24B-44C1-8D6C-888B7EFFC9DB}] => (Allow) J:\Games\Steam\steamapps\common\Grand Theft Auto V\PlayGTAV.exe => Нет файла
    FirewallRules: [{DFDFC3FC-84C1-42FB-9411-C43E5331208C}] => (Allow) J:\Games\Steam\steamapps\common\Grand Theft Auto V\PlayGTAV.exe => Нет файла
    FirewallRules: [{EE2B5DC1-447D-4F97-8983-02EA5865A825}] => (Allow) J:\Games\Steam\steamapps\common\Grand Theft Auto V\GTAVLauncher.exe => Нет файла
    FirewallRules: [{47C68DE2-A4E6-4BD1-AE91-D43AFDCF0859}] => (Allow) J:\Games\Steam\steamapps\common\Grand Theft Auto V\GTAVLauncher.exe => Нет файла
    FirewallRules: [{95387425-ED5C-4EEC-949E-7759F5DE5853}] => (Allow) J:\Games\Steam\steamapps\common\Life is Feudal Your Own\yo_cm_client.exe => Нет файла
    FirewallRules: [{3360F1D2-0BE8-40BD-89EC-4D3C875E14A0}] => (Allow) J:\Games\Steam\steamapps\common\Life is Feudal Your Own\yo_cm_client.exe => Нет файла
    FirewallRules: [{AFE18213-117C-4371-925F-9FBB16AC5C45}] => (Allow) I:5\Games\Steam\steamapps\common\Life is Feudal Your Own\yo_cm_client.exe => Нет файла
    FirewallRules: [{3DAB5B23-62D6-4C42-9484-A917A35A4A57}] => (Allow) I:5\Games\Steam\steamapps\common\Life is Feudal Your Own\yo_cm_client.exe => Нет файла
    FirewallRules: [{63DE3CFB-C404-455A-818B-2597F82EF093}] => (Allow) I:5\Games\Steam\steamapps\common\War Thunder\launcher.exe => Нет файла
    FirewallRules: [{3901DDD1-B368-4429-809F-CBEB01BE71BF}] => (Allow) I:5\Games\Steam\steamapps\common\War Thunder\launcher.exe => Нет файла
    FirewallRules: [{E0B47C50-DEA8-4CEB-A968-0F5A7B0C75DF}] => (Allow) G:\Games\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
    FirewallRules: [{A1AFDE78-840A-44D6-AD17-331460DEC4F5}] => (Allow) G:\Games\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
    FirewallRules: [TCP Query User{4C6330EF-672A-4FCA-9D3F-70065C99189A}C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe] => (Allow) C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe => Нет файла
    FirewallRules: [UDP Query User{822272E0-5CD5-4DF0-ACCA-01DA171B3053}C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe] => (Allow) C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe => Нет файла
    FirewallRules: [{7E68DFEC-C0F9-45B0-821C-33C8293E1CCD}] => (Block) C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe => Нет файла
    FirewallRules: [{260720FF-768F-4807-A639-1C73C1DF2536}] => (Block) C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe => Нет файла
    FirewallRules: [TCP Query User{7FAD54F2-D704-469A-9297-A3BBC9DE4E71}D:\games\survive the nights\survivethenights_win.exe] => (Allow) D:\games\survive the nights\survivethenights_win.exe => Нет файла
    FirewallRules: [UDP Query User{020396E1-D99F-4E58-A8FB-1C1B6C2E33CE}D:\games\survive the nights\survivethenights_win.exe] => (Allow) D:\games\survive the nights\survivethenights_win.exe => Нет файла
    FirewallRules: [{6E1EB9ED-49AD-4E0D-BBB3-50054303B594}] => (Block) D:\games\survive the nights\survivethenights_win.exe => Нет файла
    FirewallRules: [{FB3CE5A5-BD00-4F80-841F-FF4F330F3479}] => (Block) D:\games\survive the nights\survivethenights_win.exe => Нет файла
    FirewallRules: [TCP Query User{A029AAD9-120F-4337-8021-FF91CA403B42}D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe] => (Allow) D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe => Нет файла
    FirewallRules: [UDP Query User{360E003D-A810-4835-AE4B-FCE9078353E0}D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe] => (Allow) D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe => Нет файла
    FirewallRules: [{01F60D3B-B567-4144-8A03-F3F3486F0848}] => (Block) D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe => Нет файла
    FirewallRules: [{3C09345E-EBC2-4244-9430-E79F239963A5}] => (Block) D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe => Нет файла
    FirewallRules: [{965E5333-3C98-49CA-82FB-4680C1DFF7CD}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{CFDC69D3-8CCD-49D4-801D-2DD078F6FC70}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
log
 

Вложения

  • Fixlog.txt
    20.8 KB · Просмотры: 5
Проблема решена?
 
Farbar Recovery Scan Tool
не даёт запускать с сообщением (скрин). С таким же сообщением не даёт запускать tdsskiller.exe от касперского





Посмотреть вложение 62128
Потому что выполнять рекомендации надо в том порядке, что дают. Пока через AVbr не пролечили те утилиты и не смогли бы запустить.
 
Папку C:\Users\Sapper\AppData\Roaming\RMS_settings удалите вручную
 
  • Like
Реакции: akok
Папку C:\Users\Sapper\AppData\Roaming\RMS_settings удалите вручную
Не забудьте.

В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу