Решена Майнер под маской Realtek HD, который невозможно удалить обычным способом

[Wilson11216]

День назад обнаружил сильные подтормаживания в системе, а затем и вирус-майнер. Я подумал, что это простенький троян, который можно удалить даже не особо заморачиваясь (он всего-лишь закрывал сайт dr.web cureit и диспетчер задач), но после сканирования, удаления и перезагрузки я с удивлением обнаружил ещё один троян, который на этот раз стал блокировать уже установку антивирусов. Прогнав файлы через сканирование Malwarebytes, было найдено ещё 57 вредоносных файлов, среди которых были прерыватели процессов, майнеры и невидимый файл в невидимой папке Realtek HD. После второй перезагрузки я уж было подумал, что вирусам настал конец, но эта папка и файлы в ней восстановились, либо не были удалены вовсе, благо вирус потерял свою способность к самообучению и изрядно ослаб. Я всё ещё не могу избавиться от майнера, он блокирует функцию восстановления системы, закрывая настройки и не даёт работать автологгеру вне безопасного режима, так что логи были собраны в нём. Прошу вас помочь мне уничтожить вирус с учётом его способности закрывать AVZ после начала сканирования. Возможно, результаты сканирования антивирусом смогут вам помочь, поэтому прикреплю и их.

 

[akok]

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_br.exe)


Повторно скачайте запустите Autologger (старый удалите) и прикрепите новый CollectionLog

 

[Wilson11216]

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_br.exe)


Повторно скачайте запустите Autologger (старый удалите) и прикрепите новый CollectionLog

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\mvPnJmQrU\gDYcZt.dll', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFile('C:\Windows\Temp\ljJKLLRUaNxzJgTo\lVhOwlJJsCArWGk\jzTHSIe.exe', '');
 DeleteFile('C:\Program Files (x86)\mvPnJmQrU\gDYcZt.dll', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\Windows\Temp\ljJKLLRUaNxzJgTo\lVhOwlJJsCArWGk\jzTHSIe.exe', '32');
 DeleteFile('C:\Windows\Temp\ljJKLLRUaNxzJgTo\lVhOwlJJsCArWGk\jzTHSIe.exe', '64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekOnLogon');
 DeleteSchedulerTask('tefFvErtygcxEzm2');
 DeleteSchedulerTask('uObcRAYNnPIHqxpHg');
 DeleteSchedulerTask('uObcRAYNnPIHqxpHg.job');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: diarrhea-Effie - C:\ProgramData\effulgence-Edwina\bin.exe /H (file missing)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[Wilson11216]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\mvPnJmQrU\gDYcZt.dll', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFile('C:\Windows\Temp\ljJKLLRUaNxzJgTo\lVhOwlJJsCArWGk\jzTHSIe.exe', '');
 DeleteFile('C:\Program Files (x86)\mvPnJmQrU\gDYcZt.dll', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\Windows\Temp\ljJKLLRUaNxzJgTo\lVhOwlJJsCArWGk\jzTHSIe.exe', '32');
 DeleteFile('C:\Windows\Temp\ljJKLLRUaNxzJgTo\lVhOwlJJsCArWGk\jzTHSIe.exe', '64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekOnLogon');
 DeleteSchedulerTask('tefFvErtygcxEzm2');
 DeleteSchedulerTask('uObcRAYNnPIHqxpHg');
 DeleteSchedulerTask('uObcRAYNnPIHqxpHg.job');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: diarrhea-Effie - C:\ProgramData\effulgence-Edwina\bin.exe /H (file missing)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[akok]

Что сейчас с проблемой?

 

[Wilson11216]

Что сейчас с проблемой?

Нагрузка на систему исчезла, но я нашел подозрительное приложение, на которое я никак не могу повлиять. Оно может быть опасно?

 

[akok]

Судя по названию и расположению это Ntoskrnl.exe — Википедия

Но стоит проверить на VirusTotal

 

[akok]

Подготовьте лог лог SecurityCheck by glax24

 

[Wilson11216]

Подготовьте лог лог SecurityCheck by glax24

 

[akok]

Исправьте по возможности
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.41212.0 Данная программа больше не поддерживается разработчиком.
Python 3.9.5 (64-bit) v.3.9.5150.0 Внимание! Скачать обновления
Microsoft Silverlight 5.1 v.5.1.5001 Данная программа больше не поддерживается разработчиком.
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
Zoom v.5.9.3 (3169) Внимание! Скачать обновления
Telegram Desktop v.3.5.1 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.3-I602 v.2.4.3-I602 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.9 v.4.3.9 Внимание! Скачать обновления

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Wilson11216]

Исправьте по возможности
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.41212.0 Данная программа больше не поддерживается разработчиком.
Python 3.9.5 (64-bit) v.3.9.5150.0 Внимание! Скачать обновления
Microsoft Silverlight 5.1 v.5.1.5001 Данная программа больше не поддерживается разработчиком.
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
Zoom v.5.9.3 (3169) Внимание! Скачать обновления
Telegram Desktop v.3.5.1 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.3-I602 v.2.4.3-I602 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.9 v.4.3.9 Внимание! Скачать обновления

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[akok]

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку"), а по окончании сканирования нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

 

[Wilson11216]

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку"), а по окончании сканирования нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

 

[akok]

В принципе на этом все.

Запустите AdwCleaner. В меню Параметры прокрутите вниз и выберите Удалить.

-----------------

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

[Wilson11216]

В принципе на этом все.

Запустите AdwCleaner. В меню Параметры прокрутите вниз и выберите Удалить.

-----------------

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Сделано. Спасибо за помощь.

 

[akok]

Удачи!