Решена Проблема с майнером, притворяющимся taskhost.exe от Realtek HD

[karmanvnoske]

Добрый вечер. Словил майнер, который маскируется под taskhost.exe от Realtek HD. Попытался почистить антивирусом, но он добавил себя в исключения через путь :C\ProgramData\RealtekHD\taskhost.exe. Также он время от времени закрывает диспетчер задач. Логи собирал в безопасном режиме.

 

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[karmanvnoske]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

Здравствуйте! Собрал логи. AVBR включал в безопасном режиме, а автологер уже в обычном. (Вопрос: во время работы авбр он спросил, удалить ли пользователя джон, я нажал нет. Я правильно сделал?)

 

[thyrex]

Сомнительно, что учетку пользователя John Вы создавали сами. Поэтому тут поступили неправильно.

 

[karmanvnoske]

Сомнительно, что учетку пользователя John Вы создавали сами. Поэтому тут поступили неправильно.

Получается, надо заново запустить авбр и скинуть новый отчёт?

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[karmanvnoske]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Готово
Вот архив:

 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-3870309774-2966929079-1131500761-1001\...\Run: [ut] => "C:\Users\user\AppData\Roaming\uTorrent\uTorrent.exe"  /MINIMIZED (Нет файла)
Cmd: net user John /delete
FirewallRules: [TCP Query User{A1C2D71E-F250-4B03-B1C7-44614AA9BAE5}C:\users\user\appdata\local\programs\opera\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [UDP Query User{864B87B1-40B4-4A16-B7F4-9B1807B14C0C}C:\users\user\appdata\local\programs\opera\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{F2817D34-A101-4C11-8E53-A351D35E63A7}] => (Allow) C:\Users\user\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
FirewallRules: [{CC1290EC-9552-44D1-B9F6-61DBFBCA6AEF}] => (Allow) C:\Users\user\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
FirewallRules: [TCP Query User{A72DF3FE-3287-40C6-866E-3D16B7FC1ED7}D:\alienisolation\ai.exe] => (Allow) D:\alienisolation\ai.exe => Нет файла
FirewallRules: [UDP Query User{5830467F-BBF5-4B23-A752-B8D1F7C4D0F7}D:\alienisolation\ai.exe] => (Allow) D:\alienisolation\ai.exe => Нет файла
FirewallRules: [TCP Query User{9E740613-4868-4CD0-82AA-0BC0062C1C97}D:\gtav\gta5.exe] => (Allow) D:\gtav\gta5.exe => Нет файла
FirewallRules: [UDP Query User{8B7CA818-8AA7-48BD-8BEE-428994419A1C}D:\gtav\gta5.exe] => (Allow) D:\gtav\gta5.exe => Нет файла
FirewallRules: [{C3A2B9B0-7564-4890-86B5-3BF6915848EA}] => (Block) D:\gtav\gta5.exe => Нет файла
FirewallRules: [{A09A557F-5127-408F-89C0-2F0C82585EBA}] => (Block) D:\gtav\gta5.exe => Нет файла
FirewallRules: [{F707F4BD-E8C7-478B-AFDD-62F58C0647BD}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{EBC00A3E-BA2E-4FA7-9054-1A7C300F5F2B}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{ED2048CC-432F-4750-9326-68C218034ED0}] => (Block) LPort=445
FirewallRules: [{62FC4D0A-7014-44D8-BE70-F3F7B80B2BB7}] => (Block) LPort=445
FirewallRules: [{4690A34A-8936-4D57-AAC4-3BB1FBAC04A6}] => (Block) LPort=139
FirewallRules: [{23977F47-F10B-44E4-97AD-597D8676570F}] => (Block) LPort=139
FirewallRules: [{C26EFCE2-7797-4AB3-A668-DF8A75B7428B}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

После скрипта

MediaGet

удалите через Установку программ или принудительно с помощью Geek Uninstaller

 

[karmanvnoske]

Всё сделал, медиагет удалил.
Вот логи:

 

[thyrex]

Проблема решена?

 

[karmanvnoske]

Да, спасибо вам большое!