Майнеры не дают себя удалить. COMSurrogate, NT Kernel и Realtek HD audio

[Вивьен]

Все симптомы майнера. Закрывает диспетчер задач, не даёт скачать антивирусы, нагружает процессор, не даёт доступ к некоторым командам. Пробовала запустить AVBR - не даёт, закрывает. Ставила мальвари - не даёт установить. Пыталась уже вручную разрешить запуск нужных программ - всё то же самое. Доктор веб тоже не хочет запускать, пишет что отказано в доступе. Удаляла запреты антивирусов через реестр, всё равно то же самое. Запускала антивирусы через безопасный режим и через обычный - никак не даёт. Windows 7. Помогите пожалуйста

[Вивьен]

Авбр я переименовывала, таскала по разным папкам, вообще не даёт запустить. Если открывать папку с оригинальным названием то проводник просто закрывается 

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[Вивьен]

03.01.2025 в 01:24, thyrex сказал:

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

Надеюсь правильно логи прикрепила. Мне там удалось что-то почистить, но есть ощущение что не все майнеры ушли.

CollectionLog-2025.01.04-03.37.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Вивьен]

10 часов назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

frst.rar

[thyrex]

Не нужно полностьюцитировать выдаваемые Вам рекомендации.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-1154957738-3437292756-3680929527-1000\...\Run: [YandexBrowserAutoLaunch_F186C0FCE4669111447213110239150B] => "C:\Users\Алина\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-1154957738-3437292756-3680929527-1000\...\MountPoints2: F - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1154957738-3437292756-3680929527-1000\...\MountPoints2: {2fc86cc7-1946-11eb-a6f3-4cbb58f12b6d} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1154957738-3437292756-3680929527-1000\...\MountPoints2: {fb660fbc-12d6-11eb-99d2-0274434f485d} - F:\HiSuiteDownLoader.exe
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S3 AthBTPort; system32\DRIVERS\btath_flt.sys [X]
S3 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X]
S3 btath_avdt; system32\drivers\btath_avdt.sys [X]
S0 BTATH_BUS; system32\DRIVERS\btath_bus.sys [X]
S3 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X]
S3 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X]
S3 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X]
S3 BtFilter; system32\DRIVERS\btfilter.sys [X]
S3 cpuz152; \??\C:\Windows\temp\cpuz152\cpuz152_x64.sys [X] <==== ВНИМАНИЕ
S3 iobit_monitor_server2021; \??\C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\drivers\Monitor_win7_x64.sys [X]
S3 WinDivert; \??\C:\Users\Алина\Desktop\WinDivert64.sys [X]
2025-01-02 05:42 - 2025-01-02 05:42 - 000000001 _RHOT C:\Users\Алина\AppData\Roaming\SysFiles
2025-01-02 05:42 - 2025-01-02 05:42 - 000000001 _RHOT C:\Program Files\spyhunter
2025-01-02 05:42 - 2025-01-02 05:42 - 000000001 _RHOT C:\Program Files\Enigma Software Group
2025-01-02 05:42 - 2025-01-02 05:42 - 000000001 _RHOT C:\Program Files\ByteFence
CustomCLSID: HKU\S-1-5-21-1154957738-3437292756-3680929527-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2018\Inventor Server\Bin\TestServer.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1154957738-3437292756-3680929527-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2018\Inventor Server\Bin\TestServer.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1154957738-3437292756-3680929527-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2018\Inventor Server\Bin\TestServer.dll => Нет файла
ContextMenuHandlers1: [Atheros] -> {B8952421-0E55-400B-94A6-FA858FC0A39F} =>  -> Нет файла
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
AlternateDataStreams: C:\ProgramData:MHD [268]
AlternateDataStreams: C:\Users\All Users:MHD [268]
AlternateDataStreams: C:\Users\Все пользователи:MHD [268]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhiqhnhm [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
AlternateDataStreams: C:\Users\Алина\AppData\Local:MHD [234]
AlternateDataStreams: C:\Users\Алина\AppData\Local\Temp:MHD [244]
FirewallRules: [{0C508D61-4126-407D-945E-C29B2D853A75}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{D044B9F4-5570-44A7-A179-D6A072303393}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{CFCB22C8-6BC2-48A1-9DA0-CBF22FA861C9}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{35568718-BB04-4243-95B2-02A1F11409D0}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{C4DC8DE5-096E-42D1-B50E-C90D46DEBA59}] => (Allow) D:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{9861427E-9330-4078-BD62-76B87A00BC0F}] => (Allow) D:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{E95CEB82-5FF9-4F2D-8042-805C24E617EE}] => (Allow) D:\SteamLibrary\steamapps\common\Everlasting Summer\Everlasting Summer.exe => Нет файла
FirewallRules: [{C9572485-7448-448C-BE0E-BFD259E5E0D8}] => (Allow) D:\SteamLibrary\steamapps\common\Everlasting Summer\Everlasting Summer.exe => Нет файла
FirewallRules: [{3FB79DAB-06B4-4E48-B0DD-9E7D7EC6F32B}] => (Allow) D:\SteamLibrary\steamapps\common\LoveBeat\LoveBeat.exe => Нет файла
FirewallRules: [{D584294F-AA73-4257-A67F-841CA062F4DA}] => (Allow) D:\SteamLibrary\steamapps\common\LoveBeat\LoveBeat.exe => Нет файла
FirewallRules: [{1D6F81C6-A6D0-48B9-A6EB-667141D4F4E4}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{2004DF90-FA35-4610-9A19-AF434CDC00D6}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{08121063-0B64-4B6E-A6BD-ED1F0C8434A0}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe => Нет файла
FirewallRules: [{61AEC118-787A-44B8-BC1F-361E161CAC4A}] => (Allow) C:\Program Files\CCleaner\CCUpdate.exe => Нет файла
FirewallRules: [TCP Query User{943E30FC-4F53-43E7-9C90-10B44C179666}C:\program files\java\jre1.8.0_45\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_45\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{6D5222D8-7755-4F27-B1E7-A802EAE0661D}C:\program files\java\jre1.8.0_45\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_45\bin\javaw.exe => Нет файла
FirewallRules: [{5DABECA2-3375-4EF4-A714-924FB1F915DC}] => (Allow) D:\rr\Electronic Arts\The Sims 4\Game\Bin\TS4.exe => Нет файла
FirewallRules: [{EA36AC14-580D-432C-B8BC-8C8F2B3C9631}] => (Allow) D:\rr\Electronic Arts\The Sims 4\Game\Bin\TS4.exe => Нет файла
FirewallRules: [{2BA552DE-2614-4240-95B6-CF55C1970986}] => (Allow) D:\rr\Electronic Arts\The Sims 4\Game\Bin\TS4_x64.exe => Нет файла
FirewallRules: [{0F172B62-01C9-41F7-BC3D-E0F0817200FA}] => (Allow) D:\rr\Electronic Arts\The Sims 4\Game\Bin\TS4_x64.exe => Нет файла
FirewallRules: [{5E004CD6-FC08-49FE-AF51-20A5CC0B2A95}] => (Allow) D:\rr\The Sims 4\Game\Bin\TS4.exe => Нет файла
FirewallRules: [{380B498C-3FD1-4152-A87B-421C48D9E42E}] => (Allow) D:\rr\The Sims 4\Game\Bin\TS4.exe => Нет файла
FirewallRules: [{E4BF1FBF-01F4-4DE5-8458-D69B58EED72B}] => (Allow) D:\rr\The Sims 4\Game\Bin_LE\TS4.exe => Нет файла
FirewallRules: [{96D9163F-3446-4874-BECE-EB623579C230}] => (Allow) D:\rr\The Sims 4\Game\Bin_LE\TS4.exe => Нет файла
FirewallRules: [{5231C9BC-F19C-49F1-9D7F-99E13F32A8DD}] => (Allow) C:\Users\Алина\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [{A165A656-3475-4E9C-A108-C2583CA5EB51}] => (Allow) C:\Users\Алина\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{F4F276FE-E7AB-4F34-A502-38C2FB3387E7}] => (Allow) C:\Users\Алина\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [TCP Query User{9C3F65F9-C409-45E0-9638-8513C4DEFA0E}C:\users\алина\appdata\local\play machine\vkapp.exe] => (Allow) C:\users\алина\appdata\local\play machine\vkapp.exe => Нет файла
FirewallRules: [UDP Query User{36494E8A-2068-4B1B-8213-E05351A426DB}C:\users\алина\appdata\local\play machine\vkapp.exe] => (Allow) C:\users\алина\appdata\local\play machine\vkapp.exe => Нет файла
FirewallRules: [{EFC088F0-D606-4F2E-8A6A-79ED12336501}] => (Block) C:\users\алина\appdata\local\play machine\vkapp.exe => Нет файла
FirewallRules: [{3E36194D-C9F7-4C93-9F8B-36B2CF1F7AB1}] => (Block) C:\users\алина\appdata\local\play machine\vkapp.exe => Нет файла
FirewallRules: [TCP Query User{B7C54EF0-141B-4D3D-BE75-2EFEE12BFCC0}C:\program files\sony\vegas pro 13.0\vegas130.exe] => (Allow) C:\program files\sony\vegas pro 13.0\vegas130.exe => Нет файла
FirewallRules: [UDP Query User{BEDE55A3-E822-419D-A153-F281214569D3}C:\program files\sony\vegas pro 13.0\vegas130.exe] => (Allow) C:\program files\sony\vegas pro 13.0\vegas130.exe => Нет файла
FirewallRules: [{FF6EEEFC-A499-447B-AC94-A7C0B1ACAA3E}] => (Block) C:\program files\sony\vegas pro 13.0\vegas130.exe => Нет файла
FirewallRules: [{EE65572F-97FF-4E20-95A6-217E9138EDEB}] => (Block) C:\program files\sony\vegas pro 13.0\vegas130.exe => Нет файла
FirewallRules: [{9C688FC8-8EAA-4563-8C57-376D10134BE2}] => (Block) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [{C2C97384-7727-4BD3-B23E-3C767A4B1A54}] => (Block) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [{234DE858-DC81-4C3A-8EC4-72AEC6F0D394}] => (Block) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [{1A9EE214-9956-4D25-99BB-8E8419B9B9A9}] => (Block) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [{CF32B434-4F2E-4C40-AC95-E43729570F8F}] => (Block) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [{3C576625-41E0-452D-87E2-F77805190362}] => (Block) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [{1C627745-A6E4-4D60-8FB5-D8E0974E3A18}] => (Block) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [{55E6CE76-3FE2-46D5-8043-25D55D1D7540}] => (Block) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [{BCCAB84C-5DD6-4BBA-B38C-B3D415CF298F}] => (Block) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [{57C2CC78-E40D-404F-A8AF-45C37361B138}] => (Block) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [{BF641579-6322-43C9-B685-47BEE013E380}] => (Block) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [{C8CAE0BC-0E92-466C-B6B7-4AF377528A92}] => (Block) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [TCP Query User{4F78A80C-9129-4EDC-8E2D-A934425699D7}D:\3d coat\3dcoat-2021\3dcoatgl64.exe] => (Block) D:\3d coat\3dcoat-2021\3dcoatgl64.exe => Нет файла
FirewallRules: [UDP Query User{82962E11-97DD-4BD2-94BC-7AEDA1A5D158}D:\3d coat\3dcoat-2021\3dcoatgl64.exe] => (Block) D:\3d coat\3dcoat-2021\3dcoatgl64.exe => Нет файла
FirewallRules: [{2229F6B8-1C25-4164-9601-43B3E9A3E0BD}] => (Allow) C:\Users\Алина\AppData\Local\GameCenter\GameCenter.exe => Нет файла
FirewallRules: [{8CD92CF5-C39A-4A4E-9F42-5344E58A6B75}] => (Allow) C:\Users\Алина\AppData\Local\GameCenter\GameCenter.exe => Нет файла
FirewallRules: [TCP Query User{0F4D15BD-C94D-4108-9CCF-CB024686D965}C:\users\алина\appdata\local\gamecenter\gamecenter.exe] => (Block) C:\users\алина\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [UDP Query User{63754604-F8FB-4217-841B-B07B4884761E}C:\users\алина\appdata\local\gamecenter\gamecenter.exe] => (Block) C:\users\алина\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [{F65B9DAE-3E39-437D-9260-0467927982E0}] => (Allow) C:\Users\Алина\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{ACA2BA68-0BC5-425B-AD72-283CC8B60FEF}] => (Allow) C:\Users\Алина\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{46E15E3C-B746-42A8-909F-A180C16944A8}] => (Allow) C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\AutoUpdate.exe => Нет файла
FirewallRules: [{CA4D54E7-B86A-443F-9A6F-8AA38DE26CF5}] => (Allow) C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\AutoUpdate.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Вивьен]

Fixlog.txt

[thyrex]

Проблема решена?

[Вивьен]

Получается да, спасибо за помощь и инструкции 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.