Решена Удаление майнера, realtek hd, taskhostw, taskhost

Статус
В этой теме нельзя размещать новые ответы.
L

Leonid444

Новый пользователь
Сообщения
5
Реакции
0
Здравствуйте, мне удалось запустить avz в безопасном режиме, пока не помогло. Попробовал собрать логи:

CollectionLog-2023.08.20-18.37.zip

drive.google.com drive.google.com
 
Последнее редактирование:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код: 
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\DRM\TAqYtWsMYw1nO\CreedMobeV.bat', '');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe', '');
 QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\audiodg.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\DRM\TAqYtWsMYw1nO\CreedMobeV.bat', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '32');
 DeleteSchedulerTask('Microsoft\Windows\CreedMobeV\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\CreedMobeV\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\CreedMobeV\TAqYtWsMYw1nO');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


Скачайте, распакуйте (в подпапку) и запустите AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Запустите Autologger и прикрепите новый CollectionLog.
 
Кажется, стало получше! Пока что диспетчер задач не закрывается сам по себе, не надо переименовывать папку AutoLogger, чтобы в неё зайти. Письмо на почту отправлено

PS. В диспетчере задач не отображаются Realtek, taskhost и taskhostw
 

Вложения

Последнее редактирование:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
@Leonid444, ждём очередные логи.
 
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код: 
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Program Files\Microsoft OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-669198869-502282365-3529990996-1001\...\Run: [YandexBrowserAutoLaunch_B64B7D5D07784CD66F00CA43360BB68B] => "C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart --zombie-wakeup (Нет файла)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Нет файла)
Task: {71B97198-07F6-45BF-8D8D-6D844D28139C} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_UpdateInterval => %systemroot%\system32\MusNotification.exe  Display (Нет файла)
Task: {9705FD6F-B327-4382-AFBD-B0B57211BFF3} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Нет файла)
Task: {6AC9F505-1B85-4BB9-8866-6B6B152E4866} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Нет файла)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
Task: {68ECDF92-371A-4F43-A94A-966755FA2D9C} - System32\Tasks\Opera scheduled Autoupdate 1645296485 => C:\Users\User\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
Task: {58FEE1EB-A81A-469B-978C-8503797AEB44} - System32\Tasks\Repairing Yandex Browser update service => C:\Program Files (x86)\Yandex\YandexBrowser\20.3.1.253\service_update.exe  --repair (Нет файла)
Task: {D573A4D4-1128-4480-A3F6-CED82C45607C} - System32\Tasks\System update for Yandex Browser => C:\Program Files (x86)\Yandex\YandexBrowser\20.3.1.253\service_update.exe  --run-as-launcher (Нет файла)
Task: {85BA0387-269A-434C-BD65-A500AAE15465} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
2023-08-14 18:30 - 2023-08-14 18:30 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
2023-08-14 18:30 - 2023-08-14 18:30 - 000000000 __SHD C:\Users\User\AppData\Roaming\Sysfiles
2023-08-14 18:30 - 2023-08-14 18:30 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-14 18:30 - 2023-08-14 18:30 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-14 18:30 - 2023-08-14 18:30 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-14 18:30 - 2023-08-14 18:30 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
FirewallRules: [UDP Query User{9A3854F1-89DC-4359-8BB6-2CA8AB4F846B}C:\program files\jetbrains\webstorm 2022.2\bin\webstorm64.exe] => (Allow) C:\program files\jetbrains\webstorm 2022.2\bin\webstorm64.exe => Нет файла
FirewallRules: [TCP Query User{B47CF738-C608-493D-92AE-17D60732F8C6}C:\program files\jetbrains\webstorm 2022.2\bin\webstorm64.exe] => (Allow) C:\program files\jetbrains\webstorm 2022.2\bin\webstorm64.exe => Нет файла
FirewallRules: [UDP Query User{8E54FD29-BB6D-445C-A5D0-B64ADC3A078E}C:\program files\jetbrains\pycharm 2022.2.3\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm 2022.2.3\bin\pycharm64.exe => Нет файла
FirewallRules: [TCP Query User{7EBC9BD3-2144-42F4-8CF4-CBF294613746}C:\program files\jetbrains\pycharm 2022.2.3\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm 2022.2.3\bin\pycharm64.exe => Нет файла
FirewallRules: [{AED3BD7F-329B-4510-8F4B-C29DB18E9F50}] => (Allow) C:\Program Files\OriginLab\Origin2018\Origin95.exe => Нет файла
FirewallRules: [{7358A605-EA51-4B66-9541-7185DC56EC19}] => (Allow) C:\Program Files\OriginLab\Origin2018\Origin95.exe => Нет файла
FirewallRules: [{3097F7CC-F7C6-4E4F-8ACE-DBD045198FBC}] => (Allow) C:\Users\User\AppData\Local\Programs\Opera\84.0.4316.14\opera.exe => Нет файла
FirewallRules: [{691EF570-4AED-4367-A584-8BCACE5643F8}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.99.250.0_x86__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{8ACA04EB-BC77-4098-91BF-6B4A3D275B94}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.99.250.0_x86__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{8C15AA77-5BBD-4B73-953F-5A898C9FC524}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.99.250.0_x86__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{1D5BEB60-9FFC-4EC9-969A-927E3BDCECAD}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.99.250.0_x86__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{F0CE8E50-BCC0-4287-BE73-0BF9038808C0}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.99.250.0_x86__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{B1F41B92-23BA-4ABE-9896-6164EB4D8785}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.99.250.0_x86__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{E119EAE6-1A53-42A4-B879-94E3AEB422E2}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.99.250.0_x86__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{C5809A19-E591-4FC4-943E-25D908181AF2}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.99.250.0_x86__zpdnekdrzrea0\Spotify.exe => Нет файла
FirewallRules: [{8620E9CF-7E50-4DCD-AD3F-CED10984D4E1}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe => Нет файла
FirewallRules: [TCP Query User{6DC46B8F-6005-4F33-A5B8-EB187AD67D6F}C:\users\user\appdata\roaming\spotify\spotify.exe] => (Block) C:\users\user\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [UDP Query User{8586AF82-2709-4C85-842A-07234D1C3363}C:\users\user\appdata\roaming\spotify\spotify.exe] => (Block) C:\users\user\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [{A2A90923-2B15-479B-876C-4A01BE258062}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\Lync.exe => Нет файла
FirewallRules: [{17CEF902-71F0-4E84-8DD4-AB4B493CBCEF}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\UcMapi.exe => Нет файла
FirewallRules: [TCP Query User{D6DE1155-D095-4CB5-A1C0-D9E500B2DA95}C:\program files\jetbrains\webstorm 2023.1.2\bin\webstorm64.exe] => (Allow) C:\program files\jetbrains\webstorm 2023.1.2\bin\webstorm64.exe => Нет файла
FirewallRules: [UDP Query User{9E5B5567-D675-44DE-BAD6-4602F05AF193}C:\program files\jetbrains\webstorm 2023.1.2\bin\webstorm64.exe] => (Allow) C:\program files\jetbrains\webstorm 2023.1.2\bin\webstorm64.exe => Нет файла
FirewallRules: [TCP Query User{0F05EF8F-D08D-46C9-A6C8-EBA30CA87E18}C:\program files\jetbrains\pycharm community edition 2023.2\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm community edition 2023.2\bin\pycharm64.exe => Нет файла
FirewallRules: [UDP Query User{B78E7706-0BA9-4AFD-A4B2-C4564EA586C3}C:\program files\jetbrains\pycharm community edition 2023.2\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm community edition 2023.2\bin\pycharm64.exe => Нет файла
FirewallRules: [TCP Query User{ED939E4C-DF6A-4234-B85E-5AE10356419B}C:\program files\jetbrains\pycharm 2023.2\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm 2023.2\bin\pycharm64.exe => Нет файла
FirewallRules: [UDP Query User{6F7FECF3-BC94-40B1-9F0C-839AAE5D9699}C:\program files\jetbrains\pycharm 2023.2\bin\pycharm64.exe] => (Allow) C:\program files\jetbrains\pycharm 2023.2\bin\pycharm64.exe => Нет файла
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
 
Исправьте по возможности:
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.41.0.2 Внимание! Скачать обновления
Oracle VM VirtualBox 6.1.34 v.6.1.34 Внимание! Скачать обновления
Python 3.9.6 (64-bit) v.3.9.6150.0 Внимание! Скачать обновления
PuTTY release 0.78 v.0.78.0.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.14.6 (15434) Внимание! Скачать обновления
Telegram Desktop v.4.9.2 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.2.9 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Opera Stable 84.0.4316.14 v.84.0.4316.14 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Yandex (All Users) v.23.7.3.824 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу