Решена Майнер в процессе taskhostw.exe маскируется под Realtek HD Audio

[Sapper]

Добрый день.
В простое на проце нагрузка в 50% обнаруживается на графике в AIDA64. При запуске Диспетчера задач нагрузка спадает (скрывается из обнаружения), но можно успеть заметить, что нагрузка была процессом "NT kernel". Сначала не пускал на сайт скачать Cureit, почистил файл host.
Cureit убивал taskhostw.exe в C:\ProgramData\WindowsTask или C:\ProgramData\RealtekHD\ иногда в той же папке убивался AMD.exe.
В реестре в автозапуске висел "Realtek HD Audio" C:\ProgramData\RealtekHD\taskhostw.exe
После того, как cureit больше не обнаруживает заражения невозможно запустить установочник антивируса (KIS)
Через некоторое время или после перезагрузки может снова появиться taskhostw.exe
Kaspersky Virus Removal Tool тоже убивал его, но установочник всё равно не запустить.

 

[regist]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

[Sapper]

Farbar Recovery Scan Tool
не даёт запускать с сообщением (скрин). С таким же сообщением не даёт запускать tdsskiller.exe от касперского

 

[akok]

Нужно запускать не FRST а утилиту. Сделали?

 

[Sapper]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Эту запустил

 

[akok]

А результат работы не прикрепили. Попробуйте переименовать FRST.

 

[Sapper]

лог

 

[Sapper]

логи

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2180117498-436784380-4259682162-1001\...\Policies\Explorer: [] 
  HKU\S-1-5-21-2180117498-436784380-4259682162-1001\...\MountPoints2: {3100e6e3-0700-11ec-b007-5e9aa6fba9f6} - "P:\setup.exe" 
  HKU\S-1-5-21-2180117498-436784380-4259682162-1001\...\MountPoints2: {d0c1ddb5-8e64-11eb-afd1-5e9aa6fba9f6} - "P:\setup.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {400DC0CA-167A-46DE-ACE8-1A0E94AE7103} - System32\Tasks\NiceHashMiner => C:\0000\NHML-1.8.1.5\NiceHashMinerLegacy.exe (Нет файла)
  Task: {E53384A9-6355-4553-8F9E-1802D0B11104} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
  FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2022-07-27] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
  FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2022-07-27] <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
  CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
  CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{71A728BB-0769-4F45-9880-2BABA2C6FD35}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.157.61\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{9AAF0EB6-42D8-46C1-A2EF-679511B37A0D}\localserver32 -> I:\Program Files\Autodesk\AutoCAD 2018\acad.exe /Automation => Нет файла
  CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{9CCE22DC-79C6-42A2-B005-864842A35AF3}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.155.77\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{B6EB585B-B467-4E46-A9C7-48D7D6FD26CB}\localserver32 -> I:\Program Files\Autodesk\AutoCAD 2018\acad.exe => Нет файла
  CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
  CustomCLSID: HKU\S-1-5-21-2180117498-436784380-4259682162-1001_Classes\CLSID\{C186B914-C8E6-468F-9AEF-052F801AAD0C}\InprocServer32 -> C:\Users\Sapper\AppData\Local\Microsoft\EdgeUpdate\1.3.155.85\psuser_64.dll => Нет файла
  AlternateDataStreams: C:\Users\Sapper:Heroes & Generals [38]
  AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
  AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [314]
  FirewallRules: [{1DE0CD29-03BF-443E-BB8A-298061E449A6}] => (Allow) J:\Games\Steam\steamapps\common\Satisfactory\FactoryGame.exe => Нет файла
  FirewallRules: [{D6D348CC-7759-44B3-8A06-7E8132B32682}] => (Allow) J:\Games\Steam\steamapps\common\Satisfactory\FactoryGame.exe => Нет файла
  FirewallRules: [{BCEFE6DA-6DEA-48CA-AD8B-A2F643C0A81D}] => (Allow) J:\Games\Steam\steamapps\common\Eco\Eco.exe => Нет файла
  FirewallRules: [{C2C23299-009A-47E7-984A-6DD410F322D7}] => (Allow) J:\Games\Steam\steamapps\common\Eco\Eco.exe => Нет файла
  FirewallRules: [{B3136A6F-1EA3-4263-9C5D-7AF73D2A4200}] => (Allow) LPort=3000
  FirewallRules: [{B94DEB6F-42DE-42B2-8A72-1F8522C6E09A}] => (Allow) LPort=3001
  FirewallRules: [{5CEB7FD2-E479-4E44-8D64-A37B67A76EFE}] => (Allow) G:\Games\Steam\steamapps\common\Eco\Eco.exe => Нет файла
  FirewallRules: [{541907A2-ACBE-426F-A5AB-29680A81C710}] => (Allow) G:\Games\Steam\steamapps\common\Eco\Eco.exe => Нет файла
  FirewallRules: [{8205E683-6240-4C08-B068-3DD3FE962DA2}] => (Allow) G:\Games\Steam\steamapps\common\Project Zomboid Dedicated Server\ProjectZomboid64.exe => Нет файла
  FirewallRules: [{61CC7590-6D80-4FEB-8D91-8BC88BDBF98E}] => (Allow) G:\Games\Steam\steamapps\common\Project Zomboid Dedicated Server\ProjectZomboid64.exe => Нет файла
  FirewallRules: [{F8326EB3-B24B-44C1-8D6C-888B7EFFC9DB}] => (Allow) J:\Games\Steam\steamapps\common\Grand Theft Auto V\PlayGTAV.exe => Нет файла
  FirewallRules: [{DFDFC3FC-84C1-42FB-9411-C43E5331208C}] => (Allow) J:\Games\Steam\steamapps\common\Grand Theft Auto V\PlayGTAV.exe => Нет файла
  FirewallRules: [{EE2B5DC1-447D-4F97-8983-02EA5865A825}] => (Allow) J:\Games\Steam\steamapps\common\Grand Theft Auto V\GTAVLauncher.exe => Нет файла
  FirewallRules: [{47C68DE2-A4E6-4BD1-AE91-D43AFDCF0859}] => (Allow) J:\Games\Steam\steamapps\common\Grand Theft Auto V\GTAVLauncher.exe => Нет файла
  FirewallRules: [{95387425-ED5C-4EEC-949E-7759F5DE5853}] => (Allow) J:\Games\Steam\steamapps\common\Life is Feudal Your Own\yo_cm_client.exe => Нет файла
  FirewallRules: [{3360F1D2-0BE8-40BD-89EC-4D3C875E14A0}] => (Allow) J:\Games\Steam\steamapps\common\Life is Feudal Your Own\yo_cm_client.exe => Нет файла
  FirewallRules: [{AFE18213-117C-4371-925F-9FBB16AC5C45}] => (Allow) I:5\Games\Steam\steamapps\common\Life is Feudal Your Own\yo_cm_client.exe => Нет файла
  FirewallRules: [{3DAB5B23-62D6-4C42-9484-A917A35A4A57}] => (Allow) I:5\Games\Steam\steamapps\common\Life is Feudal Your Own\yo_cm_client.exe => Нет файла
  FirewallRules: [{63DE3CFB-C404-455A-818B-2597F82EF093}] => (Allow) I:5\Games\Steam\steamapps\common\War Thunder\launcher.exe => Нет файла
  FirewallRules: [{3901DDD1-B368-4429-809F-CBEB01BE71BF}] => (Allow) I:5\Games\Steam\steamapps\common\War Thunder\launcher.exe => Нет файла
  FirewallRules: [{E0B47C50-DEA8-4CEB-A968-0F5A7B0C75DF}] => (Allow) G:\Games\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
  FirewallRules: [{A1AFDE78-840A-44D6-AD17-331460DEC4F5}] => (Allow) G:\Games\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
  FirewallRules: [TCP Query User{4C6330EF-672A-4FCA-9D3F-70065C99189A}C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe] => (Allow) C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe => Нет файла
  FirewallRules: [UDP Query User{822272E0-5CD5-4DF0-ACCA-01DA171B3053}C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe] => (Allow) C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe => Нет файла
  FirewallRules: [{7E68DFEC-C0F9-45B0-821C-33C8293E1CCD}] => (Block) C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe => Нет файла
  FirewallRules: [{260720FF-768F-4807-A639-1C73C1DF2536}] => (Block) C:\mining\nhml-3.0.8.2\miner_plugins\eb75e920-94eb-11ea-a64d-17be303ea466\bins\17.0\1.48\lolminer.exe => Нет файла
  FirewallRules: [TCP Query User{7FAD54F2-D704-469A-9297-A3BBC9DE4E71}D:\games\survive the nights\survivethenights_win.exe] => (Allow) D:\games\survive the nights\survivethenights_win.exe => Нет файла
  FirewallRules: [UDP Query User{020396E1-D99F-4E58-A8FB-1C1B6C2E33CE}D:\games\survive the nights\survivethenights_win.exe] => (Allow) D:\games\survive the nights\survivethenights_win.exe => Нет файла
  FirewallRules: [{6E1EB9ED-49AD-4E0D-BBB3-50054303B594}] => (Block) D:\games\survive the nights\survivethenights_win.exe => Нет файла
  FirewallRules: [{FB3CE5A5-BD00-4F80-841F-FF4F330F3479}] => (Block) D:\games\survive the nights\survivethenights_win.exe => Нет файла
  FirewallRules: [TCP Query User{A029AAD9-120F-4337-8021-FF91CA403B42}D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe] => (Allow) D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe => Нет файла
  FirewallRules: [UDP Query User{360E003D-A810-4835-AE4B-FCE9078353E0}D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe] => (Allow) D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe => Нет файла
  FirewallRules: [{01F60D3B-B567-4144-8A03-F3F3486F0848}] => (Block) D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe => Нет файла
  FirewallRules: [{3C09345E-EBC2-4244-9430-E79F239963A5}] => (Block) D:\games\survive the nights\survivethenights_win_data\streamingassets\server\stn_dedicated_server.exe => Нет файла
  FirewallRules: [{965E5333-3C98-49CA-82FB-4680C1DFF7CD}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{CFDC69D3-8CCD-49D4-801D-2DD078F6FC70}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Sapper]

log

 

[Sandor]

Проблема решена?

 

[regist]

Farbar Recovery Scan Tool
не даёт запускать с сообщением (скрин). С таким же сообщением не даёт запускать tdsskiller.exe от касперского





Посмотреть вложение 62128

Потому что выполнять рекомендации надо в том порядке, что дают. Пока через AVbr не пролечили те утилиты и не смогли бы запустить.

 

[thyrex]

Папку C:\Users\Sapper\AppData\Roaming\RMS_settings удалите вручную

 

[Sapper]

Проблема решена?

да

 

[Sandor]

Папку C:\Users\Sapper\AppData\Roaming\RMS_settings удалите вручную

Не забудьте.

В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.