Решена Майнер скрывающийся под службу Realtek

R

RainbowHeroin

Новый пользователь
Сообщения
44
Реакции
0
Долго не мог найти решения вопроса касаемо майнера который прятался в папке Program Data, что удивительно, его не было видно даже при видимости скрытых файлов, папок и дисков...браузер при попытке скачать какую-либо полезную утилиту сразу же закрывался, ровно как и сайт SafeZone, но при помощи безопасного режима смог-таки его удалить благодаря av block remover-у. Есть ли ещё что-то что необходимо сделать для того чтобы окончательно отчистить систему от последствий?
Файл с логами AvBlock-а прилагаю.
 

Вложения

Теперь в обычном режиме готовьте логи
www.safezone.cc

Правила оформления запроса о помощи

FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как...
www.safezone.cc www.safezone.cc

++ нужно проверить и включить
www.safezone.cc

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...
www.safezone.cc www.safezone.cc
 
"Пофиксите" в HijackThis:
Код: 
O7 - AutoLogon: HKLM\..\Winlogon: \User (disabled)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
+ После фикса соберите свежие логи Автологером.
 
Сделал всё как писалось в сообщении выше через "HiJackThis"
Но 2ух строчек в списке HiJack не нашёл:
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
Автологером и фарбаром просканировал, вот файлы:
 

Вложения

Сделал всё как писалось в сообщении выше через "HiJackThis"
Нажмите для раскрытия...
А откуда вы Хиджак брали? В ваших свежих логах эти строки есть. Если вы брали как положено Хиджак из папки Автологера, то они там должны быть.
Пофиксьте их, а потом переделайте логи.
 
Перекачал автологер, всё перепроверил, нашёл те самые 2 строчки, вроде бы всё сделал
Вот новые логи
 

Вложения

Дополнительно, пожалуйста:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Эту строку вы фиксили?
Код: 
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
В логе опять видна.
 
regist написал(а):
Эту строку вы фиксили?
Код: 
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
В логе опять видна.
Нажмите для раскрытия...
Каждый раз когда фикшу эту строчку в HiJack Она после перезагрузки снова появляется
 
HJT не берет эту строку. Менять нужно так
www.safezone.cc

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...
www.safezone.cc www.safezone.cc
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

ITTGame
  • Закрыта
Решена Вирусняк Чи Майнер скрывающийся под Realtek HD
2
Ответы
24
Просмотры
732
Arkalik
A
M
  • Закрыта
Решена Майнер скрывающийся под Realtek
2
Ответы
32
Просмотры
2K
regist
regist
NameOfCentury
  • Закрыта
Решена Засадил майнер/вирус, скрывающийся за процессом print.exe
2
Ответы
21
Просмотры
2K
Sandor
Sandor
Назад
Сверху Снизу