Решена Майнер COM SURROGATE / Realtek HD

[Borealis]

Добрый день.
Проблема как в нескольких топиках ниже, поймал майнер который нагружает проц.
Предварительно собрать лог AutoLogger'ом не удалось, только в безопасном режиме. Там же и был запущен AVbr, запустил не с помощью переименования, а путем удаления политики в реестре.
После перезагрузки собрал все логи еще раз. На данный момент все стабильно, но процесс так и остался висеть. Взгляните пожалуйста на результат.

 

[Borealis]

upd: добавил лог Autologger, почему то не подгрузил сразу.

 

[akok]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\StartupApproved\Run: [DAEMON Tools Ultra Agent] = C:\Program Files\DAEMON Tools Ultra\DTAgent.exe -autorun (file missing) (2022/01/16)
O4 - HKCU\..\StartupApproved\Run: [DAEMON Tools Ultra Automount] = C:\Program Files\DAEMON Tools Ultra\DTAgent.exe -autorun (file missing) (2022/01/16)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Borealis]

Пофиксил в HiJackThis эти строки.

Отчеты Farbar.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2817283806-4047137719-3442566929-1001\...\MountPoints2: {2f136059-795e-11ec-8f7d-b40ede31ebbe} - "I:\autorun.exe" 
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2817283806-4047137719-3442566929-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  C:\Users\a-tor\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
  FirewallRules: [{9F397FC4-633C-4855-ACF2-D5980379CA63}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{CE1E4074-69F4-4BF0-BBA3-4AB0942FF83C}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{DDD509E8-C4E8-4A91-8E23-64DAAEDB14CC}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{C36323A9-07A4-49F0-B234-F263BE005665}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{A7BDCF81-2518-47BD-8695-1745A61FB795}] => (Allow) LPort=8029
  FirewallRules: [{E1629DF2-E384-421B-8A24-24AF05DDF36E}] => (Allow) LPort=8029
  FirewallRules: [{13BD5028-E403-47EE-B537-5ACDCE5DB3F2}] => (Allow) LPort=8029
  FirewallRules: [{1E33BAF9-13AB-45A1-A755-F78D04E33AD0}] => (Allow) LPort=8029
  FirewallRules: [{1E00A94A-D922-43B1-B4F0-5B8C1E160A58}] => (Allow) LPort=8029
  FirewallRules: [{FA9457D9-21DB-437E-9262-2C94F44DDC0A}] => (Allow) LPort=8029
  FirewallRules: [{2E0505F1-275A-4971-A92E-EDB01C724824}] => (Allow) LPort=8029
  FirewallRules: [{1A79652A-AA99-41CA-88C4-2BD8874BB200}] => (Allow) LPort=8029
  FirewallRules: [{B52D6BA0-9B2B-4F33-BD04-811669DEB7D8}] => (Allow) LPort=8029
  FirewallRules: [{365F7D77-CACC-4DD4-B046-FE4225A85E20}] => (Allow) LPort=8029
  FirewallRules: [{8BFE38FD-01BD-4923-947F-FF30187A72A2}] => (Allow) LPort=8029
  FirewallRules: [{41B5CB92-34F0-42F5-B574-3A6BF60188F4}] => (Allow) LPort=8029
  FirewallRules: [{004F0D16-A24E-4B74-BE03-613189591D0B}] => (Allow) LPort=8029
  FirewallRules: [{52744B40-D332-439B-9CE4-5812DEF7050B}] => (Allow) LPort=8029
  FirewallRules: [{64C1212E-69DE-4F42-B182-BDEC012394A0}] => (Allow) LPort=8029
  FirewallRules: [{F7B357AB-0E86-4A20-8E2E-FA932DA14DF7}] => (Allow) LPort=8029
  FirewallRules: [{35B30D7A-A0D2-4C65-8BC1-C6835EB3FF8C}] => (Allow) LPort=8029
  FirewallRules: [{5CC6F1F6-4BFF-4FD7-9869-39101CE3E5BA}] => (Allow) LPort=8029
  FirewallRules: [{049E1805-576C-4CD1-A3FF-140AD2EE9BD5}] => (Allow) LPort=8029
  FirewallRules: [{4E198131-E108-4709-ACDA-EEDCEE03CC1A}] => (Allow) LPort=8029
  FirewallRules: [{EA3B4CA6-4C84-477F-BCF6-F306249DD0D6}] => (Allow) LPort=8029
  FirewallRules: [{0E356907-2F45-46B7-9872-3F803EE16C8C}] => (Allow) LPort=8029
  FirewallRules: [{306534BB-B3A2-4017-B551-C7751E01ABDB}] => (Allow) LPort=8029
  FirewallRules: [{E8B26000-40E7-44E8-A4BE-1C5982D973BD}] => (Allow) LPort=8029
  FirewallRules: [{A5753220-09F4-4BA5-865D-FD28859BE160}] => (Allow) LPort=1688
  FirewallRules: [{08D70C89-9317-420D-B9C4-4836FAB5C678}] => (Allow) LPort=8029
  FirewallRules: [{16728DAE-12B3-461C-B676-52505876C684}] => (Allow) LPort=8029
  FirewallRules: [{2EA82313-E627-4584-B62F-5C2F9942B1B2}] => (Allow) LPort=8029
  FirewallRules: [{728846FD-7B45-4848-8B8E-82950EC7EFB0}] => (Allow) LPort=8029
  FirewallRules: [{4E40558B-DFA9-45BA-A795-9A8ACE70146A}] => (Allow) LPort=8029
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Borealis]

Сделано

 

[Sandor]

Проблема решена?

 

[Borealis]

В процессах все равно висит два СOM SURROGATE. Но в целом все работает без нареканий, никаких следов активного майнинга.

При переходе в расположение файла и попытку их удалить выводит фразу: запросите разрешение от "TrustedInstaller" для изменения этого файла.

 

[Sandor]

Это легитимный процесс, пытаться удалить не нужно.

в целом все работает без нареканий

Хорошо, завершаем:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Borealis]

сделано

 

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.25.8 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.20.3.63 v.3.20.3.63 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.01 (64-разрядная) v.6.01.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.9.3 (3169) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46348 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.16 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.21.001.20145 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.0.0.10 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


По возможности исправьте указанное. Читайте Рекомендации после удаления вредоносного ПО

 

[Borealis]

Большое спасибо за помощь