Решена Сложный вирус NT Kernel & System (taskhost.exe, audiodg.exe, MicrosoftHost.exe)

Статус
В этой теме нельзя размещать новые ответы.

Quiet Klirik

Новый пользователь
Сообщения
5
Реакции
1
Здравствуйте.
Я поймал вирус (возможно после установки стороннего ПО).

Этот вирус запускается вместе с Windows и открывает сразу несколько процессов которые сильно нагружают систему.
При открытии диспетчера задач все вредоносные процессы завершают свою работу, через небольшой промежуток времени диспетчер задач закрывается и процессы возобновляются.
При попытке выяснить расположение вредоносных файлов меня перенаправляет в несуществующие папки (C:\Programdata\RealtekHD\taskhost.exe или C:\ProgramData\WindowsTask\audiodg.exe или C:\ProgramData\WindowsTask\MicrosoftHost.exe).

C:\ProgramData\WindowsTask\MicrosoftHost.exe запускается с параметрами:
(C:\ProgramData\WindowsTask\MicrosoftHost.exe -o stratum+tcp://ex22cheap.xyz:3333 -u RandomX_CPU --donate-level=1 -k -t6)

Все сайты антивирусов блокируются, а даже если и удастся загрузить антивирус, то он либо закрывается на крестик, либо не видит вируса.
Не помню как, но на компьютере был замечен пользователь "Джон" которого никто не создавал.
Так же кнопка "Завершение работы" стала нефункциональной.

Вредоносные процессы:
Virus.webp


Установив Malware антивирус, он смог обнаружить вредоносные процессы и обезвредить их, но при перезапуске компьютера вирус полностью возобновляет свою работу.
Результаты сканирования Malware:
malware_resault.webp
 

Вложения

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 
  • Like
Реакции: akok
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
Всё сделал. Вот логи:
 

Вложения

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Готово.
 

Вложения

  • FRST.zip
    FRST.zip
    30.8 KB · Просмотры: 18
Извините, упустили вашу тему.
При старте утилиты FRST64.exe она может обновиться, разрешите ей это.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Извините, упустили вашу тему.
При старте утилиты FRST64.exe она может обновиться, разрешите ей это.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Здравствуйте! Ничего страшного)
Вот лог-файл:
 

Вложения

  • Like
Реакции: akok
В исключения Защитника добавлена папка

Рекомендую удалить во избежание повторного заражения.

Проблема решена?
Да! Проблема решена. Ни одного признака работы вируса не было обнаружено.

Глубоко вам благодарен
 
  • Like
Реакции: akok
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу