[РЕШЕНО] MicrosoftHost.exe майнер

22 апреля, 2023

Здравствуйте, поймал майнер, вычислил по 100% загрузке и сильному нагреву процессора.

AVZ не обнаруживает, через безопасный режим смог что-то почистить, так что процессор уже не греется и запускаются хоть как-то антивирусные утилиты, но проблема с невозможностью установить антивирус осталась.

Avbr при запуске просит обновиться и закрывается, где обновить я так и не понял, но какие-то логи создает.

FRST запускается, как и avbr только с переименованием, пишет ошибку "Failed to update (1), но Fix не работает т.к. ему нужен скрипт, а я не знаю где его достать. AVBR создает текстовый файл с именем delminer, но avz исполнять его не хочет - ругается на синтаксис.

Помогите пожалуйста.

Вот архивы с результатами avbr и FRST. Последний запускался с "BCD" и "Файлы за 90 дней" (ссылки на яндекс диск)

FRST.zip

AV_block_remover.zip

Изменено 22 апреля, 2023 пользователем Tolk

22 апреля, 2023

Порядок оформления запроса о помощи

Файлы нужно ззгружать на форум, если вас не просят об ином.

22 апреля, 2023

Простите, у меня при создании темы почему-то не было опций загрузки файлов, появилась потом и я исправил.

Вот архив с логами

CollectionLog-2023.04.22-18.05.zip

23 апреля, 2023

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-1609227600-2704626100-1367413974-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {01CA7549-C490-4AE3-B122-13C65413E256} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {5C3F38B1-E05C-488A-AEA0-582828E9FF4B} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (Нет файла) <==== ВНИМАНИЕ
Task: {676D3EB9-A9BE-48FF-A422-7221BCB4C551} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Task: {6FD0A3BB-0E89-4659-96E4-C87FEAA37EF5} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2303.8-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (Нет файла)
Task: {7B8BD3B4-EDBF-4F89-A7BB-9B24308532E0} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Task: {8D4F119A-FE65-494F-9FD6-16BA5336706E} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [676768 2023-04-18] (Mozilla Corporation -> Mozilla Corporation) -> --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Нет файла)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\WINDOWS\system32\MusNotification.exe (Нет файла)
Task: {E7481C27-C7BC-4993-BE7B-BD8E68EF92A6} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Cleanup => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2303.8-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (Нет файла)
Task: {E7817EA7-615B-4006-954E-BCC5CD033A65} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (Нет файла) <==== ВНИМАНИЕ
Task: {E7BE027C-DB2F-444A-BB5D-B290A6D57A70} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verification => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2303.8-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (Нет файла)
Task: {F027104A-FA45-4F8B-B8A8-655109A742C6} - System32\Tasks\AMDRyzenMasterSDKTask => C:\Program Files\AMD\CNext\CNext\cpumetricsserver.exe (Нет файла)
Task: {FEE5B006-F6E8-4B5D-9F79-AF32577EF1EA} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan => C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2303.8-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (Нет файла)
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
ProxyServer: [S-1-5-21-1609227600-2704626100-1367413974-1001] => hxxp://localhost:1080
FF NetworkProxy: Mozilla\Firefox\Profiles\f7ftfs0j.default-release-1576647223430 -> autoconfig_url", "hxxp://127.0.0.1:1080/pac?hash=KEcIgqF1A0kDk8ZZklC5rA2&secret=G_WdtfrFKe4iJRkfh7AovSlCWHYn19b6hwvoTCsBO5Q1"
S3 458E25486C54CD94; \??\C:\Temp\6418205E-60490F00-2EFBC4BC-98B176C8\5a8d08e4c.sys [X]
S2 IOPort; \??\C:\WINDOWS\system32\drivers\ioport.sys [X]
S2 MemPort; \??\C:\WINDOWS\system32\drivers\memport.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2023-04-22 16:11 - 2023-04-22 16:11 - 000000400 __RSH C:\ProgramData\ntuser.pol
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\WavePad
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\RobotDemo
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\PuzzleMedia
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\Norton
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\McAfee
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\MB3Install
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\Malwarebytes
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\grizzly
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\FingerPrint
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\Evernote
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\ESET
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\ProgramData\Doctor Web
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\SpyHunter
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Ravantivirus
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Rainmeter
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Process Lasso
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Malwarebytes
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\ESET
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Enigma Software Group
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\DrWeb
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\COMODO
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Cezurity
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\ByteFence
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\Bitdefender Agent
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\AVG
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\AVAST Software
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files\7-Zip
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\KVRT2020_Data
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 __SHD C:\KVRT_Data
2023-04-22 14:46 - 2023-04-22 14:46 - 000000000 ____D C:\Users\Tolk\AppData\Roaming\RMS_settings
2023-04-22 14:45 - 2023-04-22 14:45 - 000000000 ___HD C:\Users\John
2023-04-22 14:45 - 2023-04-22 14:45 - 000000000 ____D C:\ProgramData\System32
CMD: net user John /delete
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

23 апреля, 2023

Выполнил, файл создался, но автоматически перезагрузки почему-то не было - перезагрузил сам.

Fixlog.txt

24 апреля, 2023

Проблема решена?

24 апреля, 2023

Да, спасибо, проблема решена, компьютер дополнительное время протянул. Остальной мусор вычистится при полной переустановке Windows на новый SSD

25 апреля, 2023

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

[РЕШЕНО] MicrosoftHost.exe майнер

Рекомендуемые сообщения

Tolk

Mark D. Pearlstone

Tolk

thyrex

Tolk

thyrex

Tolk

thyrex

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum