Решена Сложный вирус NT Kernel & System (taskhost.exe, audiodg.exe, MicrosoftHost.exe)

Quiet Klirik

Новый пользователь
Сообщения
5
Реакции
1
Здравствуйте.
Я поймал вирус (возможно после установки стороннего ПО).

Этот вирус запускается вместе с Windows и открывает сразу несколько процессов которые сильно нагружают систему.
При открытии диспетчера задач все вредоносные процессы завершают свою работу, через небольшой промежуток времени диспетчер задач закрывается и процессы возобновляются.
При попытке выяснить расположение вредоносных файлов меня перенаправляет в несуществующие папки (C:\Programdata\RealtekHD\taskhost.exe или C:\ProgramData\WindowsTask\audiodg.exe или C:\ProgramData\WindowsTask\MicrosoftHost.exe).

C:\ProgramData\WindowsTask\MicrosoftHost.exe запускается с параметрами:
(C:\ProgramData\WindowsTask\MicrosoftHost.exe -o stratum+tcp://ex22cheap.xyz:3333 -u RandomX_CPU --donate-level=1 -k -t6)

Все сайты антивирусов блокируются, а даже если и удастся загрузить антивирус, то он либо закрывается на крестик, либо не видит вируса.
Не помню как, но на компьютере был замечен пользователь "Джон" которого никто не создавал.
Так же кнопка "Завершение работы" стала нефункциональной.

Вредоносные процессы:
Virus.PNG


Установив Malware антивирус, он смог обнаружить вредоносные процессы и обезвредить их, но при перезапуске компьютера вирус полностью возобновляет свою работу.
Результаты сканирования Malware:
malware_resault.PNG
 

Вложения

  • CollectionLog-2022.08.12-14.30.zip
    122.1 KB · Просмотры: 6

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,213
Реакции
2,656
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 
  • Like
Реакции: akok

Quiet Klirik

Новый пользователь
Сообщения
5
Реакции
1
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
Всё сделал. Вот логи:
 

Вложения

  • AV_block_remove_2022.08.13-16.49.log
    6.9 KB · Просмотры: 4
  • CollectionLog-2022.08.13-16.56.zip
    117.2 KB · Просмотры: 5

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,213
Реакции
2,656
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Quiet Klirik

Новый пользователь
Сообщения
5
Реакции
1
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Готово.
 

Вложения

  • FRST.zip
    30.8 KB · Просмотры: 5

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,148
Реакции
2,888
Извините, упустили вашу тему.
При старте утилиты FRST64.exe она может обновиться, разрешите ей это.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Quiet Klirik

Новый пользователь
Сообщения
5
Реакции
1
Извините, упустили вашу тему.
При старте утилиты FRST64.exe она может обновиться, разрешите ей это.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Здравствуйте! Ничего страшного)
Вот лог-файл:
 

Вложения

  • Fixlog.txt
    18.2 KB · Просмотры: 2

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,148
Реакции
2,888
  • Like
Реакции: akok

Quiet Klirik

Новый пользователь
Сообщения
5
Реакции
1
В исключения Защитника добавлена папка

Рекомендую удалить во избежание повторного заражения.

Проблема решена?
Да! Проблема решена. Ни одного признака работы вируса не было обнаружено.

Глубоко вам благодарен
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,766
Реакции
14,255
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
 
Сверху Снизу