Решена Вирус-майнер John. Пожалуйста, помогите решить проблему до конца.

[Young Chinaski]

Здравствуйте уважаемые спецы!
Проблему с правами админа и установкой анти-вируса через АVbr решил. Однако осталась высокая загрузка ЦП, при открытом диспетчере задач всё окей, он даже не закрывается, но буду благодарен в помощи полной очистки от этой заразы.
2-ой и 3-ий отчёты от Avbr сделаны после полной проверки антивирусом и удалением всего что он нашёл. Для полноты картины отчёт с FRST.
Заранее спасибо!

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {3A091A0B-A90D-42F5-8214-196B683EC25B} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {70296152-C46F-40CC-8127-07E7BE3BF683} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {A8546884-6355-4FE7-BF3D-57F2E4EDE190} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
   C:\Programdata\ReaItekHD\taskhost.exe
  Task: {DC83CEDA-39DE-4898-9EC4-67C9953E2BBC} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  C:\Programdata\ReaItekHD\taskhost.exe
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Young Chinaski]

День добрый!
Вот пожалуйста.

 

[Sandor]

Деинсталлируйте нежелательное ПО - IOBit Driver Booster v9.4.0.233

Ранее вы уже проверяли, но проверим ещё раз:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[Young Chinaski]

При удалении IOBit Driver Booster выскакивает следующая ошибка: "Exception EAccessViolation in module Uninstall.exe at 00857E30. Access violation at adress 00858E30. Write to adress 00858E30". Пропобавал через CCleaner ничего не происходит. Приложение в "Установке и удалении программ" не видно, но на диске "C" в корне лежит.
Спасибо.

 

[Sandor]

Если пользуетесь торрент-клиентом, то ничего удалять не нужно.
Ярлык - C:\USERS\Рада 5\DESKTOP\DRIVER BOOSTER.LNK удалите вручную.

Проблема решена?

 

[Young Chinaski]

К сожалению, нет.
Только что перезапустил ноутбук, помимо процессора ещё и диск сильно грузится.
Смущает как сильно перегружает память Опера, хотя открыто всего 3 вкладки, а так же процесс который "Windows Modules Installer" появляется сразу при загрузке, после пропадает и процессор начинает работать на оптимально.

 

[Sandor]

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[Young Chinaski]

Сделано

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {FAF4E90D-A36A-4902-873E-46B4310DCD02} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2295192 2023-02-14] (Avast Software s.r.o. -> Avast Software)
  C:\Users\Рада 5\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\Рада 5\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp
  2023-02-14 15:58 - 2023-02-14 15:58 - 000000000 ____D C:\ProgramData\ESET
  2023-02-14 15:44 - 2022-06-29 13:04 - 000000000 ____D C:\Program Files (x86)\IOBit
  AV: Kaspersky Free (Disabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
  IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
  IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
  IE trusted site: HKU\S-1-5-21-320940665-3811750354-2694790682-1001\...\localhost -> localhost
  IE trusted site: HKU\S-1-5-21-320940665-3811750354-2694790682-1001\...\webcompanion.com -> hxxp://webcompanion.com
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Kaspersky Internet Security обновите до актуальной версии.

Дополнительно:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Young Chinaski]

Сделано.

 

[Sandor]

Malwarebytes можно деинсталлировать.

Перечисленное следует обновить и исправить:
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.388.19041.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.20.0.14.1085 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12325.20298 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Cisco Webex Meetings v.42.2.3 Внимание! Скачать обновления
Zoom v.5.9.3 (3169) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46590 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC MUI v.19.021.20061 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Opera Stable 95.0.4635.37 v.95.0.4635.37 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v5.77.8448 v.5.77.8448 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

процесс который "Windows Modules Installer" появляется сразу при загрузке

После обновления этот процесс перестанет появляться.

Тема не закрывается, сообщите результат по окончании.

 

[Young Chinaski]

Здравствуйте!
С процессом разобрался, попросту накатил обновления в "Центре обновления Windows" и проблема исчезла.
Так же, сразу исчезло всё нежелательное ПО, которое ранее не получалось удалить. Огромная вам благодарность!

 

[Sandor]

Отлично!

Возьмите на заметку - Рекомендации после удаления вредоносного ПО