Решена RealtekHD, taskhostw.exe либо John

Статус
В этой теме нельзя размещать новые ответы.
N

neferpituu

Новый пользователь
Сообщения
13
Реакции
0
Здравствуйте, наткнулся вчера на ваш в поиске решения своей проблемы с майнером. Из симптомов: При запуске появляются кмдшки, нагружает систему, закрывает страницы браузера по ключевым названиям, так же закрывает антивирусы, их установщики, и некоторые папки / системные настройки, к примеру msconfig. Узнал его название с помощью Dr.Web, когда вирус пытался закрыть его, тот показал путь к нему ProgramData\RealtekHD\taskhostw.exe . Сам антивирус его не видит при сканировании, пытался удалить его руками, но безрезультатно, его постоянно пересоздает что-то другое. Использовал Касперский антивирус, результата так-же нет, пробовал причем раза 3 наверное.
После того как наткнулся на сайт, скачал отсюда AVbr (AVZ если я правильно понял) с помощью телефона, перекинул к себе на ноут, распаковал, запустить сразу не смог, вирус его удалял, сделал все по инструкции и получилось. При первом же сканировании он мне предложил удалить пользователя John что я и сделал, так-же очистил Hosts. Перезагрузил ноутбук в обычном режиме, и вот вроде-бы все получилось, никаких закрытий антивирусов, настроек, минут через 15 пошел пытаться запустить игры на нем, как тут вижу, что снова появились какие-то кмд, Др.Веб снова стал блокировать попытки его закрыть вирусом и все остальные симптомы.. Пробовал заново запустить скан через AVbr, к тому доступ перекрыт, удалил, переустановил в другую папку, запустил скан. В этот раз мне предложило лишь почистить Hosts и перезагрузить ноутбук, что я и сделал, но вирус никуда не пропал. Пробовал повторить то же самое с переустановкой скрипта - результата нет (в безопасном режиме тоже самое).
Вероятно это просто совпадение, но хочу заметить, вирус возродился сразу после того как я подключил ноутбук к зарядному устройству (Дело в том что ноутбук игровой, и не работает на полную мощность без подключение к розетке). Хотя это все еще может быть просто совпадением.
Откуда подцепил вирус точно не знаю.
Логи собирал в безопасном режиме от сети, в котором у меня не работает интернет. При попытке собрать логи в обычном режиме, вирус закрывает автологгер
 

Вложения

Последнее редактирование:
Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)
Код: 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\Users\mooft\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\DRM\JzAoTSI5ESyzUbFa6dz\GlobalDataP.bat','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\DRM\JzAoTSI5ESyzUbFa6dz\Game.exe','64');
 DeleteSchedulerTask('App Explorer');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataP\JzAoTSI5ESyzUbFa6dz');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataP\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataP\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Дальнейшие рекомендации выполняйте в обычном режиме.

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
  • Like
Реакции: akok
Ничего если буду это в безопасном режиме запускать? И что мне с кодом делать?
 
safezone.cc

Как выполнить скрипт в AVZ

Перед выполнением скрипта необходимо выгрузить антивирусное ПО, антишпионы, фаерволы. Выберите скрипт в рамочке, который Вам порекомендовал консультант, вызовите правой клавишей меню и нажмите Копировать. Или нажмите кнопку в верхнем правом углу: Запустите AVZ (находится в папке...
safezone.cc safezone.cc
 
Еще у меня почему то ЦП нагружен на максимум если судить по HWiNFO, хотя температура на нем вроде-бы норм и ноутбук не греется
 

Вложения

  • экрана (493).webp
    экрана (493).webp
    67.5 KB · Просмотры: 36
neferpituu написал(а):
Еще у меня почему то ЦП нагружен на максимум если судить по HWiNFO, хотя температура на нем вроде-бы норм и ноутбук не греется
Нажмите для раскрытия...
увы, с этим не к нам. Майнер уже обезврежен, дочистим мусор.

C:\Users\mooft\Downloads\KMSAuto++ Portable 1.7.9 by Ratiborus (1).zip - вот и причина появления майнера. data0.bin в этом архиве - дроппер его компонентов.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код: 
Start::
CreateRestorePoint:
HKU\S-1-5-21-855936003-425929413-616368669-1001\...\MountPoints2: {f3d3a391-ee1e-11ed-804b-00a554bc2946} - "D:\Autoplay.exe" -auto
HKU\S-1-5-21-855936003-425929413-616368669-1001\...\MountPoints2: {f3d3aff6-ee1e-11ed-804b-00a554bc2946} - "D:\setup.exe" 
HKU\S-1-5-18\...\Run: [Norton Download ManagerFORCE_UPGRADE_22_22_9] => C:\PROGRA~3\Norton\{0C55C~1\NORTON~1.EXE /m /noui /instversion "22.22.9" (Нет файла)
Task: {E0223F08-CA94-4EFD-BC41-C338A52A4BA9} - System32\Tasks\Norton Security Ultra\Norton Security Ultra Autofix => C:\Program Files\Norton Security\Engine\22.22.11.12\SymErr.exe  /ui (Нет файла)
Task: {3A7F0421-7207-43E4-B9A4-B56A0E5377E6} - System32\Tasks\Norton Security Ultra\Norton Security Ultra Error Analyzer => C:\Program Files\Norton Security\Engine\22.22.11.12\SymErr.exe  /analyze (Нет файла)
Task: {2AE143F0-ADCF-4212-9730-96C08B687DEC} - System32\Tasks\Norton Security Ultra\Norton Security Ultra Error Processor => C:\Program Files\Norton Security\Engine\22.22.11.12\SymErr.exe  /submit (Нет файла)
Task: {441B3A09-C488-4496-9618-968E4AE7313F} - System32\Tasks\Norton WSC Integration => "C:\Program Files\Norton Security\Engine\22.22.11.12\WSCStub.exe"  /taskschd (Нет файла)
Task: {B24E4470-3335-460B-9D91-AF7B38C38AE6} - System32\Tasks\Oem\xvpnHelperTask => "%localappdata%\OEM\PromoX\XvpnHelper\XvpnInstaller.exe"  /install (Нет файла)
2023-08-19 17:32 - 2023-08-19 17:32 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
2023-08-19 17:32 - 2023-08-19 17:32 - 000000000 __SHD C:\Users\mooft\AppData\Roaming\Sysfiles
2023-08-19 17:32 - 2023-08-19 17:32 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-19 17:32 - 2023-08-19 17:32 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-19 17:32 - 2023-08-19 17:32 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-19 17:32 - 2023-08-19 17:32 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
CustomCLSID: HKU\S-1-5-21-855936003-425929413-616368669-1001_Classes\CLSID\{4e6f7264-5650-4e00-0000-000000000000}\localserver32 -> "C:\HDDDDD\Programms\NordVPN\NordVPN.exe" -ToastActivated => Нет файла
AlternateDataStreams: C:\Users\mooft\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\mooft\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{72146D91-3B10-448D-B44F-3C2CCA71229C}] => (Allow) C:\hdd\Steam\Steam.exe => Нет файла
FirewallRules: [{CE9A830D-A411-4DC1-854B-2B94802101E2}] => (Allow) C:\hdd\Steam\Steam.exe => Нет файла
FirewallRules: [{2B8D7D31-3FD6-4FD6-A49A-E4FA02414018}] => (Allow) C:\hdd\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{C68314E3-8696-4A9C-877E-ED9CEFF2B094}] => (Allow) C:\hdd\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{0CD2F78B-BC9B-4289-B2D7-F47DAD863E6B}] => (Allow) C:\hdd\Steam\steamapps\common\GarrysMod\hl2.exe => Нет файла
FirewallRules: [{8E11E012-BDA6-439D-BC7F-992A9ECE2B18}] => (Allow) C:\hdd\Steam\steamapps\common\GarrysMod\hl2.exe => Нет файла
FirewallRules: [{EB5B45D5-A56D-4782-BE1C-EFB64DD45953}] => (Allow) C:\hdd\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{FF64605A-DF30-43BC-B90B-441A58D58B54}] => (Allow) C:\hdd\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{C56748FF-6BB5-467A-B1AF-693A8FF6B426}] => (Allow) C:\Users\mooft\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{CFBAAFE9-19FB-433D-8925-D2FE415A12FA}] => (Allow) C:\Users\mooft\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{C2999D62-6B12-473D-9FC3-BC92439E56DA}] => (Allow) C:\Users\mooft\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{D3A693D6-99C7-4E1D-9E9D-60E0A9A2C47A}] => (Allow) C:\Users\mooft\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{4275CDDB-69A2-4444-9474-04CDE719A85A}] => (Allow) C:\Users\mooft\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{76C4EFCA-FF45-44A2-B0C7-FCD0B6DB6067}] => (Allow) C:\Users\mooft\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{8857F889-EAB1-4077-804E-728A50F3CF9D}] => (Allow) C:\HDDDDD\Games\Grand Theft Auto V\GTA5.exe => Нет файла
FirewallRules: [{A79701C8-7C6C-4D1E-901C-89847206859F}] => (Allow) C:\HDDDDD\Games\Grand Theft Auto V\GTA5.exe => Нет файла
FirewallRules: [TCP Query User{8F29EDBE-B9E4-4D47-89F6-63C4A0F7D614}C:\hddddd\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\hddddd\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [UDP Query User{95BA0368-B8D9-40E9-83B2-8A00F2255577}C:\hddddd\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\hddddd\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{386AC151-CD7B-4A06-BCB5-D0742D57396E}C:\hddddd\steam\steamapps\common\war thunder\win64\aces.exe] => (Allow) C:\hddddd\steam\steamapps\common\war thunder\win64\aces.exe => Нет файла
FirewallRules: [UDP Query User{90AFA77E-0999-488A-86E0-5F78A3397825}C:\hddddd\steam\steamapps\common\war thunder\win64\aces.exe] => (Allow) C:\hddddd\steam\steamapps\common\war thunder\win64\aces.exe => Нет файлаReboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 
Farbar возьмет его из буфера обмена
 
Ну, вроде-бы да, никаких закрытий или кмд нету
 
Но в 18 00 примерно, уже после выполнения инструкций в БЕЗОПАСНОМ режиме, перед выполнением в обычном, было вот такое:
 

Вложения

  • экрана (496).webp
    экрана (496).webp
    47 KB · Просмотры: 35
Последнее редактирование:
Лучше бы антивирус майнеру так мешал, чем AVBR
 
Да, все нормально, майнер не возродился, большое вам спасибо за помощь!
 
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

N
  • Закрыта
Закрыто Вирус связан с RealtekHD(taskhostw.exe)
Ответы
3
Просмотры
505
Sandor
Sandor
S
  • Закрыта
Решена Майнер RealtekHD taskhostw.exe
Ответы
8
Просмотры
569
SergeyAlfa
S
D
  • Закрыта
Решена Удаление winserv.exe, realtekHD.exe, taskhostW.exe
Ответы
12
Просмотры
1K
thyrex
thyrex
Назад
Сверху Снизу