Решена Поймал вирус NT Kernel & System

[Gatat]

Добрый день,
Поймали вирус (скорее всего майнер) маскируется под NT Kernel & System и файлы taskhost.exe, audiodg.exe. Находятся в папке RealtekHD, но сами файлы в папке не отображаются. Вирус сильно нагружает ЦП и Память ноутбука, стоит запустить диспетчер задач вирус скрывается а через пару минут закрывает его и возобновляет работу. Очень надеюсь на вашу помощь.

 

[akok]

Скачайте, распакуйте (в подпапку) и запустите AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Запустите Autologger и прикрепите новый CollectionLog.

 

[Gatat]

Вот, после запуска AV block ноутбуку сильно полегчало, ещё хочу заметить (не знаю важно или нет) но во время составления логов программа открывала только встроенный microsoft edge, когда я в основном пользуюсь хромом.

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Advanced SystemCare

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Gatat]

Advanced SystemCare удалили.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-3809711406-2765340972-1206319875-1002\...\MountPoints2: {0d5a5ff5-58ab-11ea-872e-2cfda188a673} - "F:\AUTORUN.EXE" 
  HKU\S-1-5-21-3809711406-2765340972-1206319875-1002\...\MountPoints2: {0d5a600c-58ab-11ea-872e-2cfda188a673} - "G:\NORUN.EXE" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Users\Эля\Application Data:77a575add9465d78c606d381e5f202fb [394]
  AlternateDataStreams: C:\Users\Эля\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
  AlternateDataStreams: C:\Users\Эля\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
  AlternateDataStreams: C:\Users\Эля\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
  FirewallRules: [{C3D234D1-D4A7-4FD1-B1BB-D9103F088064}] => (Allow) LPort=1688
  FirewallRules: [{0248AF8E-616A-4C44-8082-3AE29BD420EF}] => (Allow) LPort=2869
  FirewallRules: [{2FC1C8B2-0E3B-4C24-B771-2E61CCEDD0FD}] => (Allow) LPort=1900
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Gatat]

Готово

 

[Sandor]

Хорошо. Проблема решена?

 

[Gatat]

Да, вирусы пропали. Лишней нагрузки больше нету, большое спасибо за помощь.

 

[Sandor]

Отлично! В завершение, пожалуйста:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Gatat]

Все сделано

 

[Sandor]

Исправьте по возможности:

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.17.3.7294.0108 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9011 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
Shareman, версия 102.3.78.232 v.102.3.78.232 Внимание! Клиент сети P2P с рекламным модулем!.


Читайте Рекомендации после удаления вредоносного ПО