Решена Помощь в удалении майнера, маскирующегося под RealtekHD

[Ripgor]

Доброго дня!
В процессе работы ПК возникла ошибка "Autolt error"

Во всплывшем окне был указан путь до файла, в котором возникла ошибка, при попытке пройти по этому пути Проводник закрылся, а чуть позднее -- после попытки сделать запрос в браузере про эту проблему -- сам браузер тоже закрылся
Как я понимаю, это тот самый злочастный майнер, инструкции к удалению которого составляются индвивидуально, поэтому прошу помощи

Логи сделал заранее:

 

[thyrex]

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[Ripgor]

Благодарю за то, что откликнулись!

 

[Sandor]

в безопасном режиме с поддержкой сети

Вы не заметили. Запустите ещё раз AVbr уже из нормального режима. После перезагрузки его новый отчёт прикрепите.

Деинсталлируйте нежелательное ПО - MediaGet

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-580307750-528873003-161244510-1007\...\MountPoints2: {39df0655-7195-11ee-b255-806e6f6e6963} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-580307750-528873003-161244510-1007\...\MountPoints2: {e5b0cd8d-473e-11ef-b57e-d843ae71f0b9} - "E:\HonorSuiteOnlineInstaller.exe" 
  IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
  IFEO\DeviceCensus.exe: [Debugger] %windir%\system32\taskkill.exe
  IFEO\SecHealthUI.exe: [Debugger] %windir%\system32\taskkill.exe
  GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-580307750-528873003-161244510-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-580307750-528873003-161244510-1007\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\Ярослав\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  CHR HKU\S-1-5-21-580307750-528873003-161244510-1007\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [gjaojbkkfpedgefidkagjeibcbfnakke] - hxxps://fastproxy.app/service/update2/crx?partner=02
  CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe]
  2024-06-22 15:19 - 2024-06-22 15:19 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
  2024-06-22 15:19 - 2024-06-22 15:19 - 000000000 __SHD C:\Program Files\ReasonLabs
  2024-06-22 15:19 - 2024-06-22 15:19 - 000000000 __SHD C:\Program Files (x86)\Wise
  FirewallRules: [{97B87839-5982-40D8-82CC-445B1E544364}] => (Allow) LPort=3306
  FirewallRules: [{CA47F7CD-3186-4BDE-AE92-5FBD4D5543BB}] => (Allow) LPort=33060
  FirewallRules: [{1120C934-BB9A-4852-870C-AC4626227C56}] => (Allow) C:\Users\Ярослав\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
  FirewallRules: [{4E21072E-6430-48B2-B2AD-B323CC70ABE1}] => (Allow) C:\Users\Ярослав\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
  FirewallRules: [{13136182-3E0A-4D34-9CBB-7FA5BA46BF4B}] => (Allow) C:\Users\Ярослав\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  FirewallRules: [{E5ECFFE4-315F-43F5-B991-17A066AF1A2E}] => (Allow) C:\Users\Ярослав\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  FirewallRules: [{0D36FFDC-D3E1-4E76-BDF8-8FB53D0D46A1}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
  FirewallRules: [{1A69B519-BF15-4091-9569-E78A87CC15A5}] => (Allow) LPort=3389
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Ripgor]

Запустить AVbr в безопасном режиме с поддержкой сети не удалось, т.к. система очень сильно тормозила именно в этом режиме
Если запускать в обычном безопасно режиме, то все работает нормально
Насколько важны логи avbr?
Но я выполнил приложенный код в FRST, и внешние проявления проблемы (шумы, нагрузка на ЦП, вылеты проводника и браузера) исчезли -- не знаю, исчез ли сам майнер
Логи FRST:

 

[Sandor]

Насколько важны логи avbr?

Советую всё же запустить.

 

[Sandor]

Здравствуйте, @Ripgor!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается (и помечается решённой).
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!