Решена "Realtek" Майнер.

[Killer Of Giant]

Пишу т.к. не уверен в том что, майнер был удален с концами.

Windows - 10 LTSC (недавно поставлена, вырезан defender)

Установил пиратку утилиты для прицела, на следующий день в task manger'е заметил что, ЦП бьется чуть ли не в 50-70%. Task Manager закрывается после перехода к расположению процесса, так же и сама папка спустя некоторое время (Chrome тоже пытался, не вышло). Папка - "C:\ProgramData\RealtekHD", в папке ничего не было, но при просмотре свойств она закрывалась. После зашел на этот форум, почитал подобные проблемы, но не полностью. Запустил AVBR, он удалил доп. пользователя John и что-то еще. После перезапуска папка была удалена и этот процесс более не появлялся, вроде как ЦП перестал нагружаться, но только при мониторинге через Task Manager или же Process Hacker. Решил прочитать всю инструкцию полностью, установил и запустил Logger, дальше я без понятия что делать.

Логи от AVBR сделанные самыми первыми, и от Logger'а сделанные после перезапуска пк от AVBR:

 

[Killer Of Giant]

Еще меня смущает что, сам процесс майнера появился в папке AVBR

 

[Killer Of Giant]

Task Manager и его нагрузка

 

[thyrex]

В папке с AVBR находится переименованный файл лечащей программы. Так и должно быть.

Кратковременная загрузка диспетчера при открытии - тоже норма.

Продолжение осмотра системы будет уже утром.

 

[Killer Of Giant]

жду

 

[Killer Of Giant]

Браузер сильно лагает при том что, в task manager'е нагрузки никакой вообще нет. По итогу решил ещё раз запустить AVbr.

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[Killer Of Giant]

.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  2024-05-07 03:18 - 2024-05-07 03:18 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
  2024-05-07 03:18 - 2024-05-07 03:18 - 000000000 ____D C:\Program Files\7-Zip
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PE Viewer.lnk:9C5D371DC4 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Informer.lnk:597003186B [3442]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Killer Of Giant]

.

 

[Sandor]

Что сейчас с проблемой?

 

[Killer Of Giant]

сделал небольшой тест системы, вроде всё хорошо, если вдруг появятся проблемы напишу.
большое спасибо за помощь.

 

[Sandor]

Хорошо, только проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Killer Of Giant]

.

 

[Sandor]

Исправьте по возможности:

User Account Control disabled (Level 1)
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^
Security Center (wscsvc) - The service has stopped

Так ли страшен контроль учетных записей (UAC)?

µTorrent v.3.6.0.46922 Warning! Ad-supported P2P-client.


Читайте Рекомендации после удаления вредоносного ПО