Закрыто Taskhostw/Realtek HD майнер

[Wanderer]

Здравствуйте! Подцепил майнер, после изучения форума воспользовался AVbr и Autologger. Логи прикрепляю (сначала был использован АВбр потом Автологгер, соответственно CollectionLog сделан после использования АВбр), я правильно понимаю дальше мне нужно скачать Farbar? Или подождать помощи с предоставленными логами?
Спасибо за Ваше время

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[Wanderer]

Там в зеркале сидит ransom msil gorf это нормально?) x64 не запустился при попытке скачать другой сначала его блокнул хром потом Windows защитник

 

[akok]

У вас открывается сайт geekstogo.com, если открыть зеркало?

 

[Wanderer]

Да, он

 

[akok]

По идее ложное срабатывание, но на всякий проверьте файл который скачали на VirusTotal, а в эту тему ссылку на проверку. Завтра уже посмотрим (ну или сегодня утром).

 

[Wanderer]

Файл который скачал сидит в карантине у Windows (или удален, не знаю что он с файлом делает), доставать его оттуда (или скачивать ещё раз) учитывая то что он собой представляет (если это все таки не ложное) желания никакого, так то майнер видимо перестал работать или уснул, попробую сейчас касперским прогнать ПК

 

[thyrex]

Нет там по ссылке никаких вирусов.

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - HKCU\..\RunOnce: [Application Restart #3] = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --disable-blink-features=AutomationControlled --disable-default-apps --host-resolver-rules="\"MAP * ~NOTFOUND , EXCLUDE http://127.0.0.1:20353\"" --load-extension="C:\Users\DonCorleone.DESKTOP-SKO0JNH\AppData\Roaming\dolphin_anty/extensions/nkbihfbeogaeaoehlefnkodbefgpgknn" --no-first-run --origin-trial-disabled-features=CaptureHandle --proxy-server=http://127.0.0.1:20353 --remote-debugging-port=0 --start-maximized --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4438.4 Safari/537.36" --user-data-dir="C:\Users\DonCorleone.DESKTOP-SKO0JNH\AppData\Roaming\dolphin_anty\browser_profiles\424968\data_dir" --window-size=100000,100000 --restore-last-session
O4 - HKCU\..\RunOnce: [Application Restart #4] = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --disable-blink-features=AutomationControlled --disable-default-apps --host-resolver-rules="\"MAP * ~NOTFOUND , EXCLUDE http://127.0.0.1:26200\"" --load-extension="C:\Users\DonCorleone.DESKTOP-SKO0JNH\AppData\Roaming\dolphin_anty/extensions/nkbihfbeogaeaoehlefnkodbefgpgknn" --no-first-run --origin-trial-disabled-features=CaptureHandle --proxy-server=http://127.0.0.1:26200 --remote-debugging-port=0 --start-maximized --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36" --user-data-dir="C:\Users\DonCorleone.DESKTOP-SKO0JNH\AppData\Roaming\dolphin_anty\browser_profiles\577434\data_dir" --window-size=100000,100000 --restore-last-session
O4 - HKCU\..\RunOnce: [Application Restart #5] = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --disable-blink-features=AutomationControlled --disable-default-apps --host-resolver-rules="\"MAP * ~NOTFOUND , EXCLUDE http://127.0.0.1:11606\"" --load-extension="C:\Users\DonCorleone.DESKTOP-SKO0JNH\AppData\Roaming\dolphin_anty/extensions/nkbihfbeogaeaoehlefnkodbefgpgknn" --no-first-run --origin-trial-disabled-features=CaptureHandle --proxy-server=http://127.0.0.1:11606 --remote-debugging-port=0 --start-maximized --user-agent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4439.0 Safari/537.36" --user-data-dir="C:\Users\DonCorleone.DESKTOP-SKO0JNH\AppData\Roaming\dolphin_anty\browser_profiles\424974\data_dir" --window-size=100000,100000 --restore-last-session
O4 - HKCU\..\StartupApproved\Run: [DonCorleone] = C:\WINDOWS\explorer.exe http://exinariuminix.info (2022/08/11)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Tasks: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Tasks: \Mozilla\Firefox Background Update 308046B0AF4A39CB - C:\Program Files\Mozilla Firefox\firefox.exe --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
O22 - Tasks: \Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB - C:\Program Files\Mozilla Firefox\default-browser-agent.exe do-task "308046B0AF4A39CB"
O22 - Tasks: DonCorleone - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v DonCorleone /t REG_SZ /d "explorer.exe http://exinariuminix.info"
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks_Migrated: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Microsoft)
O22 - Tasks_Migrated: (telemetry) \Microsoft\Office\OfficeTelemetryAgentFallBack2016 - C:\Program Files\Microsoft Office\Office16\msoia.exe scan upload mininterval:2880 (Microsoft)
O22 - Tasks_Migrated: (telemetry) \Microsoft\Office\OfficeTelemetryAgentLogOn2016 - C:\Program Files\Microsoft Office\Office16\msoia.exe scan upload (Microsoft)
O22 - Tasks_Migrated: (telemetry) NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmMon.exe (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRepCR1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe /noshim (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRepCR2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe /noshim (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRepCR3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe /noshim (file missing)
O22 - Tasks_Migrated: (update) \Microsoft\Windows\UpdateAssistant\UpdateAssistant - C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:NHV24:{} (Microsoft)
O22 - Tasks_Migrated: (update) \Microsoft\Windows\UpdateAssistant\UpdateAssistantAllUsersRun - C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:NHV24:{} /AllUsersRun (Microsoft)
O22 - Tasks_Migrated: (update) \Microsoft\Windows\UpdateAssistant\UpdateAssistantCalendarRun - C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:NHV24:{} /CalendarRun (Microsoft)
O22 - Tasks_Migrated: (update) \Microsoft\Windows\UpdateAssistant\UpdateAssistantWakeupRun - C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe /ClientID Win10Upgrade:VNL:NHV24:{} /WakeupRun (Microsoft)
O22 - Tasks_Migrated: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Tasks_Migrated: Adobe Acrobat Update Task - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
O22 - Tasks_Migrated: Driver Booster Scheduler - C:\Program Files (x86)\IObit\Driver Booster\7.1.0\Scheduler.exe /scheduler
O22 - Tasks_Migrated: Driver Booster SkipUAC (DonCorleone) - C:\Program Files (x86)\IObit\Driver Booster\7.1.0\DriverBooster.exe /skipuac
O22 - Tasks_Migrated: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c
O22 - Tasks_Migrated: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
O22 - Tasks_Migrated: KMSAutoNet - C:\ProgramData\KMSAutoS\KMSAuto Net.exe /win=act (file missing)
O22 - Tasks_Migrated: NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvBackend\NvBatteryBoostCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerBatteryBoostCheck.log (file missing)
O22 - Tasks_Migrated: NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvDriverUpdateCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerDriverUpdateCheck.log (file missing)
O22 - Tasks_Migrated: NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA GeForce Experience.exe (file missing)
O22 - Tasks_Migrated: NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\NvNode\nvnodejslauncher.exe --launcher=TaskScheduler (file missing)
O22 - Tasks_Migrated: NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe (file missing)
O22 - Tasks_Migrated: NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe (file missing)
O22 - Tasks_Migrated: uninstaller_update - C:\Program Files (x86)\IObit\IObit Uninstaller\BigUpgrade_IU.exe /bigupgrade /2 (file missing)

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!