[РЕШЕНО] ReaItekHD никак не получается победить

[NKTN]

Всем доброго времени суток!

Второй день пытаюсь победить данный майнер, тщетно - качественно пробрался в недры системы(

AutoLogger вырубает на запуске! AV block - результатов нет. Вроде пишет, что нашел лишнего пользователя и даже как будто всё удаляет, но при перезагрузке всё на месте. Такое ощущение, что где то прописана копия глубоко... не чистка реестра ни удаление всего, что напоминает файлы winserv.exe, taskhost.exe и taskhostw.exe, результатов не приносит(

Научился руками его рубить. В свойствах папок снимаю галку со "скрывать системные файлы", в диспетчере задач вырубаю их (winserv.exe, taskhost.exe и taskhostw.exe), пока он тупит и не рубит мне окно, открываю путь к папкам где все это лежит и удаляю. После этого все работает нормально, но после перезагрузки всё опять возвращается.

К сообщению прикладываю файл CollectionLog-2023.08.21-22.56.zip проверка выполнена в "Безопасном режиме"

CollectionLog-2023.08.21-22.56.zip

[Sandor]

Здравствуйте!

 

В безопасном режиме:

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O22 - Tasks: \Microsoft\Windows\MapInfoT\RecoveryHosts - C:\ProgramData\Microsoft\Network\F0PdRTrkw8e\MapInfoT.bat (not signed)

Перезагрузите компьютер.

 

Далее пробуйте работать в нормальном режиме:

AVbr и после перезагрузки его отчёт.

Затем новый CollectionLog.

 

[NKTN]

51 минуту назад, Sandor сказал:

Здравствуйте!

 

В безопасном режиме:

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O22 - Tasks: \Microsoft\Windows\MapInfoT\RecoveryHosts - C:\ProgramData\Microsoft\Network\F0PdRTrkw8e\MapInfoT.bat (not signed)

Перезагрузите компьютер.

 

Далее пробуйте работать в нормальном режиме:

AVbr и после перезагрузки его отчёт.

Затем новый CollectionLog.

 

 

Благодарю, за решение. Перестало плодиться. 

CollectionLog-2023.08.22-01.45.zip

[Sandor]

Если запускали, как я просил AVbr, его отчёт тоже прикрепите.

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

Adobe Flash Player 10 Plugin

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[NKTN]

17 часов назад, Sandor сказал:

Здравствуйте! Всё сделал как сказали.

 

Цитата

 

 

Благодарю, за решение. Перестало плодиться. 

AV_block_remove_2023.08.22-01.38.log Addition.txt FRST.txt

Изменено 22 августа, 2023 пользователем Sandor
Удалил карантин

[Sandor]

Хорошо, некоторую очистку сделаем.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  Task: {0DFF090F-FBF7-452B-9D02-9184109317D6} - \GoogleUpdateTaskMachineCore{05CFECED-8FF1-4DCE-A134-9650F0D3975D} -> Нет файла <==== ВНИМАНИЕ
  Task: {F64AAEE6-6C60-4399-A405-377BBFE50D44} - \GoogleUpdateTaskMachineUA{86FC69B7-286F-414E-BAF7-B26B1BC9CEA0} -> Нет файла <==== ВНИМАНИЕ
  S3 458E832A9B35D4EE; \??\C:\Users\Admin\AppData\Local\Temp\7156805C-503CB7E0-25A2A7A4-4CE86970\d9df1adf.sys [X] <==== ВНИМАНИЕ
  2023-08-21 18:43 - 2023-08-21 18:43 - 000000000 __SHD C:\ProgramData\princeton-produce
  2023-08-17 22:18 - 2023-08-17 22:18 - 000000000 __SHD C:\Users\Admin\AppData\Roaming\Sysfiles
  2023-08-17 22:18 - 2023-08-17 22:18 - 000000000 __SHD C:\Program Files\QuickCPU
  2023-08-17 22:18 - 2023-08-17 22:18 - 000000000 __SHD C:\Program Files\NETGATE
  2023-08-17 22:18 - 2023-08-17 22:18 - 000000000 ____D C:\Program Files\CPUID
  2023-08-17 22:18 - 2023-08-17 22:18 - 000000000 ____D C:\Program Files (x86)\MSI
  HKU\S-1-5-21-1511357022-636881267-362080373-1000\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[NKTN]

Выполнил

Fixlog.txt

[thyrex]

Папку C:\ProgramData\Microsoft\Network\F0PdRTrkw8e удалите вручную.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[NKTN]

Готово

SecurityCheck.txt

[thyrex]

Microsoft Office Excel 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

FileZilla 3.60.2 v.3.60.2 Внимание! Скачать обновления
Microsoft Office PowerPoint 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Word 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Google Drive v.68.0.2.0 Внимание! Скачать обновления
7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Архиватор WinRAR v.5.01.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Telegram Desktop v.4.8.5 Внимание! Скачать обновления
Combined Community Codec Pack 2008-01-24 v.2008-01-24 00:00 Данная программа больше не поддерживается разработчиком.
K-Lite Mega Codec Pack 10.2.0 v.10.2.0 Внимание! Скачать обновления
Adobe Reader 9.2 - Russian v.9.2.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Google Chrome v.109.0.5414.120 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

по возможности исправьте указанное, и на этом закончим

[NKTN]

Благодарю✊

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".