Закрыто Поймал майнер, маскирующийся под Realtek HD audio, COM Surrogate, Runtime Broker

M

mousecray

Новый пользователь
Сообщения
6
Реакции
0
По собственной глупости поймал майнер, обычно по 30 раз всё перепроверяю, но был уставший и скачал программу с первого попавшегося сайта.
Вредителя обнаружил сразу, тк установка была очень тормознутой, и изменились разрешения защитника windows. При попытки открыть редактор групповой политики (gpedit.msc) сразу вылетело. Сайты с антивирусами закрывали браузер. Боялся что шифровальщик, сразу в безопасном режиме проверил службы, после вручную почистил планировщик заданий, удалил в реестре запреты на открытие файлов в проводнике, почистил переменные среды.

Методом "научного тыка" обнаружил подставные процессы из папки Program Data, указанные в заголовке. После по этому форуму сравнил с симптомами и воспользовался утилитой AV block remover. Сначала запустил по стандарту, увидел ошибки, остановил и запустил в безопасном режиме. Цены нет разработчикам, проблему решил, но я не уверен, что очищено всё. Я недостаточно хорошо разбираюсь в этих вещах, поэтому нуждаюсь в помощи профи.

Уточнения, которые, возможно, имеют значение:
1. На компьютере установлен Rohos (для входа с помощью usb без пароля)
2. Логгер хотел запустить IE, но, кажется, не смог. Вероятно, IE был искусственно удалён мною, вместе с другими стандартными программами (это было давно)
3. На компьютере разрешён запуск удалённых рабочих столов
4. На компьютере были включены некоторое опции для работы с PowerShell
5. Вероятно, есть многие повреждения системы, не связанные с этой проблемой, поскольку нужен был chkdsk. С тех пор я так и не успел переустановить систему

У меня есть опасения по поводу Dokan library. Я увидел её где-то, пока пытался справится с проблемой, но не помню, чтобы я устанавливал её вручную. Возможно, она установилась как часть какой-то другой программы. Может ли она быть напрямую связана с этим майнером?

В соответствии с правилами, прикладываю логи и отчёты AV block Remover. Сначала выполнялся Remover, потом создавались логи.
 

Вложения

  • CollectionLog-2023.05.03-16.43.zip
    76.3 KB · Просмотры: 2
  • AV_block_remove_2023.05.03-03.46.log
    5.9 KB · Просмотры: 2
  • AV_block_remove_2023.05.03-04.04.log
    6 KB · Просмотры: 1
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
 
Очень благодарен за помощь, что б я без вас делал!
Я думаю что тему можно закрыть, я не наблюдаю каких- то проблем. Как я могу это сделать?
По поводу Dokan library, если я правильно понял, майнер с ней не связан?
 
Последнее редактирование:
Ещё одну проверку давайте сделаем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Извиняюсь за долгий ответ, думал что тему закроют, и не проверил сразу.
У меня 64-х разрядная система, но файл не запускается. Вернее ничего не происходит после запуска. Попробовал запустить 32-х разрядную версию, но результат аналогичный. Пробовал переименовать файлы, но точно также ничего не происходит. Пробовал запускать из разных местоположений (рабочий стол, папка загрузки).
 
frst?
Попробуйте из нашего зеркала
www.safezone.cc

Farbar Recovery Scan Tool

Farbar Recovery Scan Tool, или FRST, представляет собой портативное приложение, предназначенное для работы в Windows XP, Windows Vista и Windows 7/8/10/11 в обычном или безопасном режиме для диагностики проблем с вредоносным ПО.Обновляется...
www.safezone.cc www.safezone.cc
 
Из зеркала не помогло, но я нашёл причину. Использовал средство настройки совместимости, выбрало Windows 8. У меня Windows 10, со всеми обновлениями и, немного потасканной системой, всё таки уже 5 лет без переустановки. Похоже либо для Windows 10 не работает, или это у меня какие-то проблемы.
 

Вложения

  • Addition.txt
    105.8 KB · Просмотры: 1
  • FRST.txt
    32 KB · Просмотры: 1
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Всё сделал, спасибо большое! Прикрепляю отчёт.

----
Есть вопрос немного не по теме. Может ли быть такое, что процесс прячется из диспетчера задач, или завершается при его запуске? Дело в том, что меня обуяла паранойя. Вообще-то у меня медленный компьютер, в основном из-за HDD, но пока я боролся с вирусом, и после его удаления, я обратил внимание, что при открытом диспетчере задач, кажется, тормозит немного меньше. Возможно мне только кажется, очень сложно сравнивать и так медленную работу с другой медленной работой. Вопрос в том, могу ли я убедиться, что пока диспетчер задач закрыт, ничего больше не работает? Помогут ли сторонние диспетчеры задач, или нужен другой метод?

----
Если в этой теме не получится подсказать, или если не получится подсказать по каким-то другим причинам, то тема может быть закрыта. Спасибо большое за помощь, сам бы я если бы и справился, что довольно маловероятно, то всё равно никогда бы не смог быть уверен, что всё в порядке.
 

Вложения

  • Fixlog.txt
    2.1 KB · Просмотры: 1
Последнее редактирование:
Активного ничего не видно, можете для успокоения прогнать cureit или Kaspersky Virus Removal Tool, может найдут неактивные хвосты.
mousecray написал(а):
Вообще-то у меня медленный компьютер, в основном из-за HDD
Нажмите для раскрытия...
под систему лучше поставить ssd
 
akok написал(а):
Активного ничего не видно, можете для успокоения прогнать cureit или Kaspersky Virus Removal Tool, может найдут неактивные хвосты.
Нажмите для раскрытия...
Благодарю, на ночь сегодня поставлю cureit. Тем более я его запускал, но впоследствии, пока он работал нашёл уже конкретно, что за вирус и нашёл ваш форум.
akok написал(а):
под систему лучше поставить ssd
Нажмите для раскрытия...
Да, вы правы, потому что уже сил никаких нет с этим. Всё что пишет на диск, особенно редакторы чего-либо, и не дай бог с автосохранением, заставляют меня думать о вечном в течении 10-15 секунд как минимум.

Больше нет вопросов, только признательность за вашу помощь)
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу