Решена поймал майнер realtek hd audio

[roody01]

1. После установки KMS активатор винды поймал что-то страшное( Сначала попробовал вылечить самым банальным методом. Отправил себе в ТГ файл Курейта, ADW, Malwarebytes, AVbr. Курейт запустился, нашёл 8 угроз, realtek hd один из них, нажал обезвредить - после перезагрузки ничего не поменялось. Решил попробовать остальные программы - не запускались, блокировались администратором (John). Решил зайти в безопасный режим и проделать всё уже в нём. Через AVbr удалил John и Host-ы которые он создавал - после перезагрузки снова та же тема. Но я заметил, что перед запуском пк, открылся PowerShell и там что-то писалось. Нашёл на форумах подобную проблему, скачал AVZ. Вставлял скрипты - после выхода из безопасного режима всё по новой. Подумал, что Майнер создал резервную копию и по ней откатывается каждый раз назад, удалил все резервные копии - не помогло. После скачал FRST и уже через другие скрипты пытался вылечить - не помогло. Вирус постоянно снова устанавливается, как только выхожу из безопасного режима.

 

[thyrex]

Правила оформления запроса о помощи выполните в безопасном режиме

 

[roody01]

Прикрепляю логи

 

[thyrex]

Первый скрипт выполните в безопасном режиме, а все остальное в обычном.

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
QuarantineFile('C:\ProgramData\Microsoft\MapData\jrZ58ewWZpVqA\MasterDataJ.bat','');
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\MapData\jrZ58ewWZpVqA\MasterDataJ.bat','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\Windows\SysWOW64\unsecapp.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\MapData\jrZ58ewWZpVqA\Game.exe','64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
 DeleteFile('C:\ProgramData\windowstask\amd.exe','32');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe','32');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RecoveryData');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\Filesystem');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\CheckUP');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataJ\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataJ\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataJ\jrZ58ewWZpVqA');
ExecuteSysClean;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

 

[roody01]

прикрепляю логи и отчет avbr

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[roody01]

прикрепляю frst и addition

 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-921867335-2524397598-2277952782-1000\...\Run: [com.blitz.app] => C:\Users\User\AppData\Local\Programs\Blitz\Blitz.exe --autostart (Нет файла)
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
2023-09-03 15:34 - 2023-09-03 15:34 - 000000000 __SHD C:\Users\User\AppData\Roaming\Sysfiles
2023-09-03 15:34 - 2023-09-03 15:34 - 000000000 __SHD C:\ProgramData\princeton-produce
AlternateDataStreams: C:\ProgramData\55.zip:E9BEA6C937 [3434]
AlternateDataStreams: C:\ProgramData\AV.js:F81D557AB0 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc:169D67954B [3434]
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3434]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3434]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3434]
AlternateDataStreams: C:\ProgramData\ntuser.dat{378c589d-6994-11ec-96fb-049226cd6169}.TM.blf:DD7E44316D [3434]
AlternateDataStreams: C:\ProgramData\ntuser.dat{378c589d-6994-11ec-96fb-049226cd6169}.TMContainer00000000000000000001.regtrans-ms:1736802F87 [3434]
AlternateDataStreams: C:\ProgramData\ntuser.dat{378c589d-6994-11ec-96fb-049226cd6169}.TMContainer00000000000000000002.regtrans-ms:8F88BEDE2A [3434]
AlternateDataStreams: C:\ProgramData\update.zip:3BEC0DEA0C [3434]
AlternateDataStreams: C:\ProgramData\WnHqYU0nH4:D39ABDACE2 [3434]
AlternateDataStreams: C:\ProgramData\yandexBrowserDownloader.exe:ECEA773395 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop CC 2019.lnk:AAF8908258 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Uninstaller.lnk:0C48161B06 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overwolf.lnk:1895881744 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client.lnk:F208FC6732 [3434]
FirewallRules: [{FCA834B9-D8E6-4C4C-8189-A9FBF6EBF875}] => (Allow) D:\steam\steamapps\common\Black Squad\binaries\win64\BlackSquadGame.exe => Нет файла
FirewallRules: [{D325E1C4-9C33-474B-8436-7DB40688805C}] => (Allow) D:\steam\steamapps\common\Black Squad\binaries\win64\BlackSquadGame.exe => Нет файла
FirewallRules: [{51DD941D-844F-4ABA-95BD-F0422640C028}] => (Allow) D:\Knights of Honor II Sovereign\Knights of Honor II Sovereign\Launcher.exe => Нет файла
FirewallRules: [{2DBE2A8A-E129-4FAE-8312-85FFD7339702}] => (Allow) D:\Knights of Honor II Sovereign\Knights of Honor II Sovereign\Launcher.exe => Нет файла
FirewallRules: [{D40991B1-D249-4443-912C-6ABACCBB865D}] => (Allow) D:\Knights of Honor II Sovereign\Knights of Honor II Sovereign\Launcher.exe => Нет файла
FirewallRules: [{CED2B442-5731-45BB-B4BF-5FC2F82BF2D5}] => (Allow) D:\Knights of Honor II Sovereign\Knights of Honor II Sovereign\Launcher.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

После скрипта

YoutubeDownloader

удалите через Установку программ или принудительно с помощью Geek Uninstaller

 

[roody01]

fix log прикрепляю
YoutubeDownloader удалил

 

[thyrex]

Проблема решена?

 

[roody01]

Вроде как да, в диспетчере его нет, да и процессор не загружается на 100%)) Спасибо большое!

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[roody01]

прикрепляю лог