Закрыто COM Surrogate, RealtekHD майнер

[Mitter]

Дано: Windows 10 x86
Имею следубщий набор проблем:
1)Процесс COM Surrogate переодически грузит до 20% ЦП. При нажатии "Подробности" показывает taskhost.exe, при переходе на расположение показывает пустую папку C:\ProgramData\RealtekHD (отображение скрытых элементов на ПК включено)
2) Переодически вылетают без каких-либо сообщений различные приложения и сайты:
-Любые браузеры закрываются при вводе определенного слова или переходе на определенный сайт. Например, иногда браузер сразу закрывается при вводе dr.web в поиск, но иногда только при открытии сайта. Чаще же выдает ошибку 404 при переходе на сайт (например, beepingcomputer) Некоторые темы на safezone также не открываются.
-Переодически закрывается проводник, диспетчер задач и т.п.
Так как программы для сканирования логов не открываются, то и сами логи прикрепить не могу. AutoLogger, хоть и заявил, что комп перезагрузит, этого не сделал, а лишь создал одноименную папку с файлами антивирусов
Что делать? Можно ли исправить это самому.Или же лучше обнулять ПК и обращаться в техцентр?

 

[thyrex]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером в обычном режиме загрузки.

 

[Mitter]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером в обычном режиме загрузки.

Когда перехожу по первой ссылке, браузер закрывается, а по второй просто не грузит

 

[thyrex]

Скачать можно на любом другом компьютере и на флешке перенести на проблемный

 

[akok]

Поправил ссылку в посте №3. Теперь должно качать.

 

[Mitter]

Помогло, спасибо. Никаких следов же не оставляет от майнера?

 

[akok]

Может оставлять

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Mitter]

Может оставлять

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sandor]

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Это хорошо бы тоже увидеть.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

App-Torrent-Igruha 1.6.0
Bonjour
Driver Booster 9
MediaGet
plaintiff-productivity
WebAdvisor от McAfee

Что не сможете удалить стандартно, удалите принудительно через Geek Uninstaller

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {1064C0EA-8198-4D95-B880-3307C259ED6C} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {47432A0A-1B3B-498A-BE72-AA35781C083F} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {5322C6F9-47D0-47FC-8155-9867DF2624E7} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {64461837-6C2D-447F-8215-5E396227D99A} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\Home\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  C:\Users\Home\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  CHR HKU\S-1-5-21-3017632785-1425330784-618435612-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  2022-12-24 22:35 - 2023-01-15 14:34 - 000000000 ____D C:\Program Files\RDP Wrapper
  AV: Reason Cybersecurity (Enabled - Up to date) {ED4D1201-4876-7014-6F49-4BC9DA784B64}
  AdLock Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-3017632785-1425330784-618435612-1001\...\{aeb163ae-150c-4d82-b7d2-39575233aedf}) (Version: 1.0.0.0 - AdLock) Hidden
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [866]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [866]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [866]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [866]
  AlternateDataStreams: C:\Users\Home\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Home\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Home\Application Data:NT2 [866]
  AlternateDataStreams: C:\Users\Home\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Home\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Home\AppData\Roaming:NT2 [866]
  FirewallRules: [{C5EB5B1F-A913-4164-9B85-A264388297DC}] => (Allow) LPort=1688
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В перечне установленных программ появится скрытая ранее

AdLock Privacy Ad Blocker 1.0.0.0

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

[Sandor]

@Mitter, наша помощь ещё требуется или закрываем тему?

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!