Решена Майнер NT Kernel & System

[Nikitosss]

Здравствуйте, нашёл на компьютере майнер. В диспетчере отображается как NT Kernel & System. При удалении процесса- появляется вновь, закрывает диспетчер через несколько минут и блокирует доступ к сайтам с антивирусами и лечащими утилитами. Получилось установить Dr.Web, но вредоносный процесс не находит.

 

[Sandor]

Здравствуйте!

Прочтите и выполните Правила оформления запроса о помощи

 

[Nikitosss]

Здравствуйте, нашёл на компьютере майнер. В диспетчере отображается как NT Kernel & System. При удалении процесса- появляется вновь, закрывает диспетчер через несколько минут и блокирует доступ к сайтам с антивирусами и лечащими утилитами. Получилось установить Dr.Web, но вредоносный процесс не находит. Прикрепляю ниже логи сделанные в безопасном режиме так как в обычном после начала сканирования программа закрывается.

 

[akok]

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe)

 

[Nikitosss]

Кое-как скачал программу. При запуске сразу вылетает даже если поменять название. При этом создается папка с блокнотом в папке с программой (прикреплю его ниже).

 

[Nikitosss]

Кое-как скачал программу. При запуске сразу вылетает даже если поменять название. При этом создается папка с блокнотом в папке с программой (прикреплю его ниже).

Получилось запустить, программа провела так называемое лечение. Прикрипляю лог

 

[akok]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Nikitosss]

Сделал

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {419B4144-288F-4F8E-B76C-16FBAD7D945D} - System32\Tasks\Microsoft\Windows\Wininet\RealtekOnLogon => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {4880718D-455A-4B12-9D46-2843F6931842} - System32\Tasks\CCleanerSkipUAC - plnik => C:\Program Files\CCleaner\CCleaner64.exe $(Arg0) (Нет файла)
  Task: {5E20C7C3-E268-461A-AB36-B0F963B971A4} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\SystemInfoTool => C:\Users\plnik\AppData\Roaming\\sysinfotool\\sitool.exe -st -tu 3 (Нет файла) <==== ВНИМАНИЕ
  Task: {E6296238-B997-49ED-BECA-5D014B0E48C8} - System32\Tasks\Microsoft\Windows\Wininet\RealtekMO => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
  2022-05-18 16:21 - 2022-05-18 16:21 - 000000000 __SHD C:\Users\John
  AlternateDataStreams: C:\Users\plnik\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\plnik\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{6E04EABE-8755-4874-98E0-611E66362E41}] => (Allow) LPort=9009
  FirewallRules: [{DECC0DB2-7A41-4C8F-A17D-040A2567C319}] => (Allow) LPort=9009
  FirewallRules: [{F48AC9A9-018B-4E41-982E-447E851D0AE6}] => (Allow) LPort=9009
  FirewallRules: [{491447AF-B986-4C0F-84E1-A2BE492DF20E}] => (Allow) LPort=9009
  FirewallRules: [{52E84B74-60F5-4F46-A482-73C5D51554CB}] => (Allow) LPort=9009
  FirewallRules: [{4F8B4A67-95A6-4FC9-8C3E-59C215A9299A}] => (Allow) LPort=9009
  FirewallRules: [{6E76AF7C-B75A-4586-AF9C-762209679A1D}] => (Allow) LPort=9009
  FirewallRules: [{FF0E3266-7CD9-4931-87BF-7E3C2F37DCCA}] => (Allow) LPort=9009
  FirewallRules: [{08161AED-A2D4-4A61-90BD-B37039566AE6}] => (Allow) LPort=9009
  FirewallRules: [{D4E3D3E2-7EAC-4E46-9CDA-3AFB4C8F4385}] => (Allow) LPort=9009
  FirewallRules: [{69AB9FA0-01CF-4975-98F8-66DF2ABE63A4}] => (Allow) LPort=9009
  FirewallRules: [{8B409E59-5BCE-450E-A5EA-0C22ED2FD587}] => (Allow) LPort=9009
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Nikitosss]

Выполнил

 

[akok]

Понаблюдайте за системой, будут ли проблемы. Если все хорошо, выдам финальные рекомендации.

 

[Nikitosss]

Хорошо, большое спасибо. Понаблюдаю пару дне и отпишусь)

 

[Sandor]

@Nikitosss, как там у вас обстановка? Проблема решена?

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!