Решена Проблема с вирусом (майнером) Realtek HD, SOM surrogate, "AV_block_remover" и "AutoLogger" все и вместе

[NikolayKa]

Добрый день
Столкнулся с таким как при скачивании файла обнаружил на рабочем столе две папки "AV_block_remover" и "AutoLogger", запустил полную проверку виндовс, не исчезали, потом автономным модулем Майкрософт дефендер, после перезагрузки пк они исчезли, думал все, но не тут то было
Тут уже самое интересное началось при открытии диспетчера задач, в диспетчере задач вижу что, что-то не так, Realtek, som
Посте того как почитал форум понял, что это и тут уже началось безобразие
Симптомы:
1. Произвольное закрытие диспетчера задач (иногда сразу, иногда через время)
2. Небольшая нагрузка на производительность, визуально не особо заметно
3. Майнер блокирует доступ к этому и подобным сайтам
4. Майнер не дает перейти к расположению taskhostw.exe, диспетчер задач и проводник сразу крашатся
5. Не запускаются в обычном режиме AVZ и autologger, чудом получилось запустить это с доступом к интернету
6. Запуск AVZ без интернета не выявил никаких проблем, но и ничего не решил (так как с интернетом сразу краш )


Прикрепил те файлы которые были получены при первой проверке

 

[NikolayKa]

То что обнаружил встроенный антивирус,

 

[Sandor]

Здравствуйте!

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[NikolayKa]

После того как написал вам все же не мог найти себе места и еще искал решение в вашем форуме и нашел такую программу как MinerSearch, она дала положительный толчок после которого уже сайты заработали, диспетчер задач заработал, и вот те странные процессы исчезли и Автологер открывался и работал так как нужно, но все же нужно довести дело до конца

 

[Sandor]

1.
"Пофиксите" в HijackThis:

O22 - Tasks: \Microsoft\Windows\CheckGlobalR\RecoveryHosts - C:\ProgramData\Microsoft\Network\kBNjZol\CheckGlobalR.bat (file missing)
O22 - Tasks: PlfEBCmQrUbyE2 - C:\WINDOWS\system32\forfiles.exe /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\ruKuqCXmjFqPnsVB\ohIpezk.wsf^"" (sign: 'Microsoft')
O22 - Tasks_Migrated: plus-proceeds - C:\ProgramData\prairie-popularity\bin.exe /H (file missing)

Перезагрузите компьютер.

2.
Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[NikolayKa]

+

 

[NikolayKa]

?

 

[Sandor]

Извините за задержку с ответом.

Скачайте вложенный архив Services.zip и извлеките из него пять reg-файлов.
Запустите каждый и подтвердите внесение изменений в реестр. Перезагрузите компьютер.

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2393402973-2033841625-3335816686-1001\...\Run: [Admin] => cmd.exe /c start www.exinariuminix.info (Нет файла)
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
  Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  Edge DefaultSearchKeyword: Default -> cdn
  C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR HKLM\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  R2 Bonjour Service; C:\Program Files (x86)\Apple\Bonjour2\mDNSResponder.exe [390416 2022-12-09] (Apple Inc. -> Apple Inc.)
  AlternateDataStreams: C:\ProgramData:err [1774]
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [842]
  AlternateDataStreams: C:\WINDOWS\System32:tdsrinu.gfc [5882]
  AlternateDataStreams: C:\Users\Admin:Heroes & Generals [38]
  AlternateDataStreams: C:\Users\All Users:err [1774]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [842]
  AlternateDataStreams: C:\Users\Все пользователи:err [1774]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [842]
  AlternateDataStreams: C:\Users\Admin\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Admin\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Admin\Application Data:NT2 [842]
  AlternateDataStreams: C:\Users\Admin\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Admin\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Admin\AppData\Roaming:NT2 [842]
  AlternateDataStreams: C:\ProgramData\Application Data:err [1774]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [842]
  AlternateDataStreams: C:\ProgramData\fontcacheev1.dat:D758CE5CE2 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamViewer.lnk:C7FE7E9A98 [3442]
  AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8052]
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Sandor]

@NikolayKa, ждём ваш ответ.

 

[NikolayKa]

*

 

[Sandor]

Хорошо. Ещё один скрипт выполните:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  StartPowershell:
  reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions" /f
  Set-MpPreference -UILockdown 0
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[Sandor]

@NikolayKa, ждём результат выполнения скрипта.

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается (и помечается решённой).
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!