Решена Поймал вирус NT Kernel & System

Статус
В этой теме нельзя размещать новые ответы.

Gatat

Новый пользователь
Сообщения
6
Реакции
0
Добрый день,
Поймали вирус (скорее всего майнер) маскируется под NT Kernel & System и файлы taskhost.exe, audiodg.exe. Находятся в папке RealtekHD, но сами файлы в папке не отображаются. Вирус сильно нагружает ЦП и Память ноутбука, стоит запустить диспетчер задач вирус скрывается а через пару минут закрывает его и возобновляет работу. Очень надеюсь на вашу помощь.
 

Вложения

Скачайте, распакуйте (в подпапку) и запустите AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Запустите Autologger и прикрепите новый CollectionLog.
 
Вот, после запуска AV block ноутбуку сильно полегчало, ещё хочу заметить (не знаю важно или нет) но во время составления логов программа открывала только встроенный microsoft edge, когда я в основном пользуюсь хромом.
 

Вложения

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Advanced SystemCare удалили.
 

Вложения

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-3809711406-2765340972-1206319875-1002\...\MountPoints2: {0d5a5ff5-58ab-11ea-872e-2cfda188a673} - "F:\AUTORUN.EXE" 
    HKU\S-1-5-21-3809711406-2765340972-1206319875-1002\...\MountPoints2: {0d5a600c-58ab-11ea-872e-2cfda188a673} - "G:\NORUN.EXE" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    AlternateDataStreams: C:\Users\Эля\Application Data:77a575add9465d78c606d381e5f202fb [394]
    AlternateDataStreams: C:\Users\Эля\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
    AlternateDataStreams: C:\Users\Эля\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
    AlternateDataStreams: C:\Users\Эля\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
    FirewallRules: [{C3D234D1-D4A7-4FD1-B1BB-D9103F088064}] => (Allow) LPort=1688
    FirewallRules: [{0248AF8E-616A-4C44-8082-3AE29BD420EF}] => (Allow) LPort=2869
    FirewallRules: [{2FC1C8B2-0E3B-4C24-B771-2E61CCEDD0FD}] => (Allow) LPort=1900
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Хорошо. Проблема решена?
 
Да, вирусы пропали. Лишней нагрузки больше нету, большое спасибо за помощь.
 
Отлично! В завершение, пожалуйста:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Исправьте по возможности:

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.17.3.7294.0108 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9011 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
Shareman, версия 102.3.78.232 v.102.3.78.232 Внимание! Клиент сети P2P с рекламным модулем!.


Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу