Решена Вирус-майнер, замаскированный под Realtek HD Audio

[Kiselewkid]

Буквально несколько дней назад обнаружил, что ПК начинает сильно шуметь и нагреваться (в частности - видеокарта: до 65 и более). В связи с этим решил проверить процессы в диспетчере и обнаружил ненормальный COM Surrogate, Runtime Broker и знаменитый Realtek HD Audio. Интерес к майнеру возник после попытки перейти к расположению файла через диспетчер задач. Папка действительно открылась, но она была пуста, и сама находилась в "стелсе", после, буквально через пару секунд, папка и диспетчер самостоятельно закрылись. Исследовав просторы SafeZone обнаружил, что это довольно распространённый майнер, и избавиться от него вполне себе реально. Скачав av block remover и проведя процедуру обнаружил и задисконнектил пользователя John, после перезапуска процесс Realtek HD Audio исчез из диспетчера задач и видеокарта перестала майнить, но, изучив предыдущие темы по этому майнеру решил всё же обратиться к экспертам за советом - что делать дальше? CollectionLog и AV_block_remove.log прикрепляю соответственно.

​

 

[Sandor]

Здравствуйте!

Вы всё сделали правильно. Дочистим некоторый мусор.

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe', '');
 DeleteSchedulerTask('Kiselewkid');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kiselewkid', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kiselewkid', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Adobe Flash Player SU', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


"Пофиксите" в HijackThis только следующие строки:

O22 - Tasks_Migrated: Kiselewkid - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Kiselewkid /t REG_SZ /d "explorer.exe http://dinoraptzor.org"

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[Kiselewkid]

Здравствуйте!

Вы всё сделали правильно. Дочистим некоторый мусор.

Файл CheckBrowserLnk.log
из папки
перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe', '');
 DeleteSchedulerTask('Kiselewkid');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kiselewkid', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kiselewkid', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Adobe Flash Player SU', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


"Пофиксите" в HijackThis только следующие строки:

O22 - Tasks_Migrated: Kiselewkid - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Kiselewkid /t REG_SZ /d "explorer.exe http://dinoraptzor.org"

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[Sandor]

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

p.s.
Не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

[Kiselewkid]

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

p.s.
Не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

[Sandor]

Не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Это не заметили?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {6463549C-A31F-4B48-88EE-E1627BB3582F} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {7ABEF448-8F76-48C3-8D91-CEE6CEA39049} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {8A5889CF-4DD5-49C0-8301-8163DEBFBAB7} - System32\Tasks\AMSkipUAC => C:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe /SKIPUAC (Нет файла)
  Task: {8E45862B-03E4-4270-8757-4E152A3FDBD6} - System32\Tasks\AMHelper => C:\Program Files (x86)\Zemana\AntiMalware\AntiMalware.exe /UPDATE (Нет файла)
  Task: {9F8731EF-C82E-485E-968C-EB328F024F45} - System32\Tasks\Remove AdwCleaner Application => CMD.EXE /C DEL /F /Q "C:\Users\Kiselewkid\Downloads\adwcleaner_8.4.0.exe"
  Task: {906CA31F-F134-4237-9AB5-7B47BC9A7DC9} - System32\Tasks\Eventer utilityS-1-5-21-845981037-2737592031-2115711947-1001 => C:\Users\Kiselewkid\AppData\Local\Mail.Ru\Atom\Application\eventer.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {BAA48FA2-5AEC-4D80-B74E-86DE1C416660} - System32\Tasks\Uninstall AdwCleaner Application => C:\Users\Kiselewkid\Downloads\adwcleaner_8.4.0.exe [8791352 2022-12-12] (Malwarebytes Inc. -> Malwarebytes)
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-845981037-2737592031-2115711947-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\Kiselewkid\AppData\Local\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk
  2022-12-10 20:29 - 2022-12-12 14:51 - 000007708 _____ C:\WINDOWS\system32\pcwGsurm
  2022-12-10 19:13 - 2022-12-12 14:51 - 000007708 _____ C:\WINDOWS\system32\unitTzstunt
  2022-12-10 19:13 - 2022-12-12 14:51 - 000007708 _____ C:\WINDOWS\system32\QueKaznwbl
  2022-12-10 19:13 - 2022-12-12 14:51 - 000007708 _____ C:\WINDOWS\system32\JeaYxrbjcdjzpfdovs
  2022-12-10 19:13 - 2022-12-12 14:51 - 000007708 _____ C:\WINDOWS\system32\calAliwsvvmugcwy
  2022-12-10 19:13 - 2022-12-10 19:13 - 000005549 _____ C:\WINDOWS\system32\lliBbuyzyqchvksfal
  AlternateDataStreams: C:\WINDOWS\System32:tdsrinu.gfc [5882]
  AlternateDataStreams: C:\Users\Kiselewkid\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Kiselewkid\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Kiselewkid]

Прошу прощения, не заметил P.S.

 

[Kiselewkid]

Вот

 

[Sandor]

Лишнее исключение в Защитнике удалите самостоятельно.

Есть ещё какие-либо претензии к работе системы?

 

[Kiselewkid]

Исключение удалил
Претензий пока что не имею, надеюсь они как можно дольше не возникнут)
Спасибо Вам за оперативную помощь!)

 

[Sandor]

Отлично!
Для этой цели

надеюсь они как можно дольше не возникнут)

проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Kiselewkid]

Пожалуйста, вот...

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.4.6 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.41105.0 Данная программа больше не поддерживается разработчиком.
NVIDIA GeForce Experience 3.24.0.135 v.3.24.0.135 Внимание! Скачать обновления
Microsoft Office PowerPoint 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.22.227.1030.0001 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.00 alpha (x64) v.20.00 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2202.12 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.2.10 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 231 v.8.0.2310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-i586.exe - Windows Offline)^
---------------------------- [ UnwantedApps ] -----------------------------
Word 2010 shareware v.shareware Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.


По возможности исправьте перечисленное.
Читайте Рекомендации после удаления вредоносного ПО

 

[Kiselewkid]

Хорошо, проведу ревизию
Спасибо Вам огромное!

 

[Sandor]

Удачи и не болейте!