Решена Майнер скрывающийся под службу Realtek

R

RainbowHeroin

Новый пользователь
Сообщения
44
Реакции
0
Долго не мог найти решения вопроса касаемо майнера который прятался в папке Program Data, что удивительно, его не было видно даже при видимости скрытых файлов, папок и дисков...браузер при попытке скачать какую-либо полезную утилиту сразу же закрывался, ровно как и сайт SafeZone, но при помощи безопасного режима смог-таки его удалить благодаря av block remover-у. Есть ли ещё что-то что необходимо сделать для того чтобы окончательно отчистить систему от последствий?
Файл с логами AvBlock-а прилагаю.
 

Вложения

Теперь в обычном режиме готовьте логи
www.safezone.cc

Правила оформления запроса о помощи

FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как...
www.safezone.cc www.safezone.cc

++ нужно проверить и включить
www.safezone.cc

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...
www.safezone.cc www.safezone.cc
 
"Пофиксите" в HijackThis:
Код: 
O7 - AutoLogon: HKLM\..\Winlogon: \User (disabled)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
+ После фикса соберите свежие логи Автологером.
 
Сделал всё как писалось в сообщении выше через "HiJackThis"
Но 2ух строчек в списке HiJack не нашёл:
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
Автологером и фарбаром просканировал, вот файлы:
 

Вложения

Сделал всё как писалось в сообщении выше через "HiJackThis"
Нажмите для раскрытия...
А откуда вы Хиджак брали? В ваших свежих логах эти строки есть. Если вы брали как положено Хиджак из папки Автологера, то они там должны быть.
Пофиксьте их, а потом переделайте логи.
 
Перекачал автологер, всё перепроверил, нашёл те самые 2 строчки, вроде бы всё сделал
Вот новые логи
 

Вложения

Дополнительно, пожалуйста:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Эту строку вы фиксили?
Код: 
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
В логе опять видна.
 
regist написал(а):
Эту строку вы фиксили?
Код: 
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
В логе опять видна.
Нажмите для раскрытия...
Каждый раз когда фикшу эту строчку в HiJack Она после перезагрузки снова появляется
 
HJT не берет эту строку. Менять нужно так
www.safezone.cc

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...
www.safezone.cc www.safezone.cc
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

ITTGame
Решена Вирусняк Чи Майнер скрывающийся под Realtek HD
2
Ответы
24
Просмотры
715
Arkalik
A
M
  • Закрыта
Решена Майнер скрывающийся под Realtek
2
Ответы
32
Просмотры
2K
regist
regist
NameOfCentury
  • Закрыта
Решена Засадил майнер/вирус, скрывающийся за процессом print.exe
2
Ответы
21
Просмотры
2K
Sandor
Sandor
Назад
Сверху Снизу