Решена Словил майнер, realtekHDaudio

[Kusachki]

Словил майнер realtekHDaudio.exe, оно закрывало проводник при входе в папку ProgramData, и всё прочее.
По одному гайду с этого форума прошёлся AV-шкой, просканил FRST.
Дальше предлагали использовать некоторый скрипт, который очистит кеш и прочее, но я так понимаю что этот самый скрипт ещё нужно правильно собрать, а у меня ручки кривые для такого.

 

[Sandor]

Здравствуйте!

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-4146699174-386112156-479380857-1001\...\MountPoints2: {07e44446-85c7-11ed-9ea2-7085c29b8e81} - "H:\autoplay.exe" 
  HKU\S-1-5-21-4146699174-386112156-479380857-1001\...\MountPoints2: {d6202aa7-38be-11ed-9e1c-7085c29b8e81} - "H:\AutoRun.exe" 
  GroupPolicy: Restriction ? <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  CHR StartupUrls: Default -> "hxxp://mypoisk.su/","hxxp://googla.com.ua/q","hxxps://www.google.com/"
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2019.lnk:6569B2479D [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL:FC91667982 [2594]
  FirewallRules: [{48A084DC-89E6-4D2F-8E88-CC6E20489645}] => (Allow) LPort=1688
  FirewallRules: [{1BC06689-9622-4F9E-8C58-2D4CAEB26DAE}] => (Allow) LPort=53
  FirewallRules: [{F7823479-2544-4020-8D96-7218705EF7E4}] => (Allow) LPort=3001
  FirewallRules: [{842FB2D9-2E3E-4070-A9EE-41FE53CE389B}] => (Allow) LPort=3000
  FirewallRules: [{EC8BCE25-D224-4B8B-A113-B40775C7B373}] => (Allow) LPort=1542
  FirewallRules: [{C245C890-898D-43E5-87FA-5AB39C36B265}] => (Allow) LPort=1542
  FirewallRules: [{C3148E68-B91B-40A1-AD56-2E94CAE567FA}] => (Allow) LPort=53
  FirewallRules: [{1C6D3C8F-6AC2-4B6C-8566-D2FB772A317B}] => (Allow) C:\Users\Kusachki\Downloads\360TS_Setup_Mini.exe => No File
  FirewallRules: [{6FFC3DD7-0DDE-4012-9A7D-EA5E5D114F11}] => (Allow) C:\Users\Kusachki\Downloads\360TS_Setup_Mini.exe => No File
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Kusachki]

Скрипт запустил, он отработал, вот логи.

 

[Sandor]

Хорошо. Как себя сейчас ведёт система?

 

[Kusachki]

Стабильно, не шумит, на взлёт идти не собирается, будто бы всё исправлено.

 

[Sandor]

Хорошо, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Kusachki]

Логи SecurityCheck.exe

 

[Sandor]

Исправьте по возможности:

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен контроль учетных записей (UAC)?

Python 3.10.4 (64-bit) v.3.10.4150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.85.0 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.6425.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Notepad++ (32-bit x86) v.8.5.4 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
WinRAR 6.21 (64-bit) v.6.21.0 Внимание! Скачать обновления
paint.net v.4.3.11 Внимание! Скачать обновления
Discord v.1.0.9004 Внимание! Скачать обновления
Java 8 Update 251 (64-bit) v.8.0.2510.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^
VLC media player v.3.0.18 Внимание! Скачать обновления


Читайте Рекомендации после удаления вредоносного ПО

 

[Kusachki]

Хорошо, спасибо за помощь!