Решена Поймал майнера маскирующегося под realtekhd

[Ingenegr]

Просьба помочь избавиться от майнера

 

[Sandor]

Здравствуйте!

Наберитесь терпения, лечение потребует выполнения нескольких инструкций.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Ingenegr]

Отчеты

 

[Sandor]

Хорошо, продолжаем.

1.
"Пофиксите" в HijackThis только следующие строки:

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing)
O4 - MountPoints2: HKCU\..\{0dfd1889-9d16-11f0-884b-ec4c8c80ee80}\shell\AutoRun\command: (default) = G:\autorun.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\RecoveryManagerY\RecoveryHosts - C:\ProgramData\Microsoft\DRM\6HTDQJvB8\RecoveryManagerY.bat (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Перезагрузите компьютер.

Далее:
2.
Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.

• Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
• После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
• Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
• По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C: будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
• Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.

Затем:
3.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Ingenegr]

Отчеты

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [98304 2025-01-26] (Microsoft Windows -> Microsoft Corporation)
  S2 RRYYLMHO; C:\ProgramData\qhpxndiguijf\pzawovtjthaq.exe [2898936 2026-03-17] (Microsoft Corporation -> Microsoft® Windows®) [Файл не подписан] <==== ВНИМАНИЕ
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [143360 2025-09-21] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\system32\WaasMedicSvc.dll [94208 2025-09-21] (Microsoft Windows -> Microsoft Corporation)
  S2 WCFVBXSG; C:\ProgramData\tfkxupgodbpx\cderspzpcngq.exe [2879488 2026-03-17] () [Файл не подписан] <==== ВНИМАНИЕ
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [181120 2025-09-21] (Microsoft Windows -> Корпорация Майкрософт)
  2026-02-24 15:08 - 2026-03-17 15:51 - 000000000 ____D C:\ProgramData\qhpxndiguijf
  2026-03-17 15:51 - 2025-09-25 12:42 - 000000000 ____D C:\ProgramData\tfkxupgodbpx
  StartPowerShell:
  Remove-MpPreference -ExclusionExtension ".exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После перезагрузки скачайте этот архив, извлеките из него твики реестра и последовательно запустите каждый, соглашаясь с внесением изменений.

 

[Ingenegr]

Отчет

 

[Sandor]

Удалите вручную ещё два исключения Защитника (я их пропустил в скрипте):

C:\Users\greit
C:\ProgramData\WindowsTask\AppHost.exe

Сообщите что сейчас с проблемой.

 

[Ingenegr]

Защитник виндос ругался на угрозы , руками удалил 2 трояна из папки ProgramData пока вроде все...

 

[Sandor]

извлеките из него твики реестра и последовательно запустите каждый

Это сделали, применились успешно?

 

[Ingenegr]

Да все успешно. Проблема решена, спасибо !!!

 

[Sandor]

Отлично!
В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Ingenegr]

Отчет

 

[Sandor]

Исправьте по возможности:
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Microsoft Office LTSC Standard 2021 - en-us v.16.0.14334.20522 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office LTSC стандартный 2021 - ru-ru v.16.0.14334.20522 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft OneDrive v.26.026.0209.0004 Внимание! Скачать обновления
Microsoft Edge v.146.0.3856.59 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО