Перейти к содержанию
Правила раздела
Пройди опрос про новый продукт, получи приз

[РЕШЕНО] MicrosoftHost.exe майнер

Tolk

Автор Tolk,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

Tolk

Tolk 0

Опубликовано
Опубликовано (изменено)

Здравствуйте, поймал майнер, вычислил по 100% загрузке и сильному нагреву процессора.

AVZ не обнаруживает, через безопасный режим смог что-то почистить, так что процессор уже не греется и запускаются хоть как-то антивирусные утилиты, но проблема с невозможностью установить антивирус осталась.

 

Avbr при запуске просит обновиться и закрывается, где обновить я так и не понял, но какие-то логи создает.

FRST запускается, как и avbr только с переименованием, пишет ошибку "Failed to update (1), но Fix не работает т.к. ему нужен скрипт, а я не знаю где его достать. AVBR создает текстовый файл с именем delminer, но avz исполнять его не хочет - ругается на синтаксис.

Помогите пожалуйста.

 

Вот архивы с результатами avbr и FRST. Последний запускался с "BCD" и "Файлы за 90 дней" (ссылки на яндекс диск)

FRST.zip

AV_block_remover.zip

 

Изменено пользователем Tolk
Ссылка на сообщение
Поделиться на другие сайты
Tolk

Tolk 0

Опубликовано
  • Автор
Опубликовано

Простите, у меня при создании темы почему-то не было опций загрузки файлов, появилась потом и я исправил.

Вот архив с логами

CollectionLog-2023.04.22-18.05.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 377

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {01CA7549-C490-4AE3-B122-13C65413E256} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {5C3F38B1-E05C-488A-AEA0-582828E9FF4B} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (Нет файла) <==== ВНИМАНИЕ
Task: {676D3EB9-A9BE-48FF-A422-7221BCB4C551} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Task: {6FD0A3BB-0E89-4659-96E4-C87FEAA37EF5} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2303.8-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (Нет файла)
Task: {7B8BD3B4-EDBF-4F89-A7BB-9B24308532E0} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Task: {8D4F119A-FE65-494F-9FD6-16BA5336706E} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [676768 2023-04-18] (Mozilla Corporation -> Mozilla Corporation) -> --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Нет файла)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\WINDOWS\system32\MusNotification.exe (Нет файла)
Task: {E7481C27-C7BC-4993-BE7B-BD8E68EF92A6} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cleanup => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2303.8-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (Нет файла)
Task: {E7817EA7-615B-4006-954E-BCC5CD033A65} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (Нет файла) <==== ВНИМАНИЕ
Task: {E7BE027C-DB2F-444A-BB5D-B290A6D57A70} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verification => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2303.8-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (Нет файла)
Task: {F027104A-FA45-4F8B-B8A8-655109A742C6} - System32\Tasks\AMDRyzenMasterSDKTask => C:\Program Files\AMD\CNext\CNext\cpumetricsserver.exe (Нет файла)
Task: {FEE5B006-F6E8-4B5D-9F79-AF32577EF1EA} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2303.8-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (Нет файла)
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
ProxyServer: [S-1-5-21-1609227600-2704626100-1367413974-1001] => hxxp://localhost:1080
FF NetworkProxy: Mozilla\Firefox\Profiles\f7ftfs0j.default-release-1576647223430 -> autoconfig_url", "hxxp://127.0.0.1:1080/pac?hash=KEcIgqF1A0kDk8ZZklC5rA2&secret=G_WdtfrFKe4iJRkfh7AovSlCWHYn19b6hwvoTCsBO5Q1"
S3 458E25486C54CD94; \??\C:\Temp\6418205E-60490F00-2EFBC4BC-98B176C8\5a8d08e4c.sys [X]
S2 IOPort; \??\C:\WINDOWS\system32\drivers\ioport.sys [X]
S2 MemPort; \??\C:\WINDOWS\system32\drivers\memport.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2023-04-22 16:11 - 2023-04-22 16:11 - 000000400 __RSH C:\ProgramData\ntuser.pol
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\WavePad
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\RobotDemo
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\PuzzleMedia
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\Norton
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\McAfee
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\MB3Install
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\Malwarebytes
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\grizzly
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\FingerPrint
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\Evernote
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\ESET
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\Doctor Web
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\SpyHunter
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Ravantivirus
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Rainmeter
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Process Lasso
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Malwarebytes
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\ESET
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Enigma Software Group
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\DrWeb
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\COMODO
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Cezurity
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\ByteFence
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Bitdefender Agent
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\AVG
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\AVAST Software
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\7-Zip
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\KVRT2020_Data
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\KVRT_Data
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 ____D C:\Users\Tolk\AppData\Roaming\RMS_settings
2023-04-22 14:45 - 2023-04-22 14:45 - 000000000 ___HD C:\Users\John
2023-04-22 14:45 - 2023-04-22 14:45 - 000000000 ____D C:\ProgramData\System32
CMD: net user John /delete
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты
Tolk

Tolk 0

Опубликовано
  • Автор
Опубликовано

Да, спасибо, проблема решена, компьютер дополнительное время протянул. Остальной мусор вычистится при полной переустановке Windows на новый SSD

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 377

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Natalia00
      Майнер блокирует доступ к avbr и connection_log
      От Natalia00
      Здравствуйте. Помогите пожалуйста мне тоже. Даже этот сайт не открывается с компьютера (
      Addition.txt FRST.txt
    • snosov
      Проблема с Trojan.Win32.Miner.bcnmz/bcnnb + not-a-virus:RiskTool.Win32.BitCoinMiner.oomz + not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
      От snosov
      Приветствую,
      Обратил внимание, что у меня при заходе в Windows у меня мелькает окно cmd.exe, сразу попытался зайти на сайт антивирусного ПО и браузер "сам" закрылся.
      Скачал через телефон Kaspersky Virus Removal Tool и перебросил на ПК, но при попытке запустить файл окно проводника "само" закрывалось, переимоновал файл и он запустился, но в процессе "расстановки галочек" он так же "сам" закрылся.
      Скачал через телефон DrWeb CureIt!, он запустился без проблем и нашёл всякое, и полечил, но после перезагрузки всё вернулось.
      Скачал через телефон Kaspersky Rescue Disk, сформировал загрузочную USB. Было найдено то же самое, тоже было полечено, но так же не смогло помочь и после загрузки ситуация не поменялась.
      В приложении выгрузка AutoLogger-а и скрины KRD, но есть момент - AutoLogger пытался открыть Google Chrome, а я его удалил сразу как понял про заразу - там явки/пароли/карты.


      CollectionLog-2023.05.14-13.34.zip
    • sega1209
      Не ставится Endpoint ошибка 1303
      От sega1209
      Не устанавливается прошу помощи
    • rossi
      [РЕШЕНО] Tool.BtcMine 2711
      От rossi
      Здравствуйте!
      Cобрали целый арсенал разных вредоносов.
      Сканировал Dr.Web что не вылечил отправлено было в карантин и в карантине уже все удалил, так же для надежности Kaspersky Virus Removal Tool сканировал (тех что нашел Web уже не было) но нашел 1 вредоноса так же скрин прилагаю (его так же удалил)
      Прошу Вас помочь в просмотре логов и рекомендациям по устранению последствий этих вирусов.

      CollectionLog-2023.04.29-00.30.zip
    • Eskation
      Поймал майнер realtekhd taskhostw.exe
      От Eskation
      Здравствуйте! Аналогичная проблема - поймал майнер realtekhd taskhostw.exe
      kvrt несколько раз проверял, удалял, но гад постоянно возвращается
      AVbr запустить не даёт ни в обычном не в безопасном режимах - закрывает под предлогом необходимости обновления версии
      В безопасном режиме запустил FRST, прикрепляю результаты
      Заранее благодарен за любую помощь
      Addition.txtFRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...