[РЕШЕНО] Проблема с майнером John, Taskhostw.exe или как его еще называют RealtekHD

[Eugene_Konovalov]

Добрый день, уважаемые эксперты.

К сожалению для себя, поймал вчера очень крепкий майнер taskhostw.exe, который, судя по всему, совсем недавно обновили, потому что у меня никак не получается его искоренить, далее по порядку:

1. С самого же начала установил на загрузочную флешку с офф сайта свежий kaspersky rescue disk с помощью безопасного режима с сетью (т.к. вирус, как вы и сами знаете, не дает что-либо скачать и загуглить), прогнал систему через него (6 часов шла проверка), нашел около 40 файлов (10 из которых не вирус, но не важно), потом еще раз там же прогнал уже через расширенный поиск, также удалил некоторое количество файлов этого майнера, после чего зашел в систему (все также в безопасном режиме), почистил реестр в двух папках run, перезашел в систему уже без безопасного режима, но снова открылась консоль, снова он себя докачал и снова начал издеваться над моими системой и железом

2. После данной неудачной попытки, я установил curelt (опять же, из безопасного режима), прогнал его и снова обнаружил 6 угроз, вылечил их, после чего также прогнал систему через av block remover, она автоматом перезапустилась и даже через безопасный режим вновь создала мне автозакрытие браузеров в регистре в папке run (то есть, и этот способ не помог)... уже максимально отчаявшись я сделал все необходимые логи (Curelt, DrWeb-Sysinfo, av block remover logs, а также логи из FRST64, все это я загрузил на гугл диск для удобства: https://drive.google.com/drive/folders/1vlDNd2tWZxOUIlr24QwFEnKORR9XTBzl?usp=sharing, autologger же приложил к самой теме), после чего создал эту тему

Очень надеюсь на вашу помощь!

PS систему мне сносить никак нельзя, у меня в ней очень много важных рабочих файлов и документов весом в более около двух терабайт, так что я их даже на внешний диск перенести не могу)

CollectionLog-2025.05.07-12.15.zip report1.log report2.log

[Eugene_Konovalov]

Все действия делались в безопасном режиме с сетью, все логги также собирались в нем. Более того, сбор произошел уже после повторной чистки системы curelt'ом, а также удаления строчек, связанных с браузерами, в реестре в папке run, без последующей перезагрузки системы. Если нужно перезагрузить систему, войти без безопасного режима и т.д. для сбора новых логгов - дайте знать, сделаю все что потребуется.

PS сам лично перед autologger'ом обнаружил в логгах следующую строчку:

Task: {6CFE27BB-4812-4611-9279-6309BFD1D8A7} - System32\Tasks\Microsoft\Windows\FilesystemS\RecoveryHosts => C:\ProgramData\Microsoft\MapData\y77JnL85oLTi\FilesystemS.bat  (Нет файла) <==== ВНИМАНИЕ

и единственное, что я сделал - это удалил папку y77JnL85oLTi

Изменено 7 мая пользователем Eugene_Konovalov

[Sandor]

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O4 - Autorun.inf: F:\autorun.inf - (unknown target)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O22 - Tasks: \Microsoft\Windows\FilesystemS\RecoveryHosts - C:\ProgramData\Microsoft\MapData\y77JnL85oLTi\FilesystemS.bat (file missing)
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Перезагрузите компьютер.

 

Пробуйте собрать логи FRST.txt и Addition.txt в нормальном режиме загрузки.

 

 

[Eugene_Konovalov]

12 минут назад, Sandor сказал:

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O4 - Autorun.inf: F:\autorun.inf - (unknown target)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O22 - Tasks: \Microsoft\Windows\FilesystemS\RecoveryHosts - C:\ProgramData\Microsoft\MapData\y77JnL85oLTi\FilesystemS.bat (file missing)
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Перезагрузите компьютер.

 

Пробуйте собрать логи FRST.txt и Addition.txt в нормальном режиме загрузки.

 

 

Готово!

FRST.txt Addition.txt

[Sandor]

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {233205D9-269E-44A4-AE5E-A52E9A6F0C8A} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {3E480219-69BC-48C9-B253-EA26E1FFCAEA} - \Microsoft\Windows\WindowsBackup\CashClean -> Нет файла <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\eolbl\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  CHR HKU\S-1-5-21-1961423989-2129164770-1909801620-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
  2025-05-07 03:04 - 2025-05-07 04:18 - 000000000 ____D C:\Program Files\GridinSoft Anti-Malware
  Zip: C:\ProgramData\tg.txt
  Zip: C:\ProgramData\temp.txt
  2025-05-06 13:28 - 2025-05-06 13:28 - 000000000 ___SH C:\ProgramData\tg.txt
  2025-05-06 13:28 - 2025-05-06 13:28 - 000000000 ___SH C:\ProgramData\temp.txt
  AS: ESET Security (Enabled - Up to date) {577C8ED3-C22B-48D4-E5E0-298D0463E6CD}
  AlternateDataStreams: C:\ProgramData\Ament.ini:B13B8B5C48 [5146]
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [5146]
  AlternateDataStreams: C:\ProgramData\fontcacheev1.dat:D758CE5CE2 [5146]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [5146]
  AlternateDataStreams: C:\ProgramData\PACE:DF52D24F1CE9856F [217]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\AllFusion Process Modeler.lnk:C7399978EF [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Bass Slapper.lnk:2015821124 [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Clavinet.lnk:01A132F7E4 [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\CODEX.lnk:A8186468C9 [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Electric Grand 80.lnk:C018DDFEC2 [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Electric200.lnk:639980EC68 [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Electric88.lnk:8DE2F88384 [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Element.lnk:B527E9034B [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\eMotion LV1.lnk:6DD825F03A [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Grand Rhapsody.lnk:06FD727EFB [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\GTR 3.5.lnk:B5F50D9DF2 [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\GTRSolo 3.5.lnk:9DF92C3C26 [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\MultiRack SoundGrid.lnk:73415DC26C [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\MultiRack.lnk:026D50100F [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\SoundGrid Studio.lnk:E97F093738 [5146]
  AlternateDataStreams: C:\Users\eolbl\OneDrive\Рабочий стол\111.jpeg:3or4kl4x13tuuug3Byamue2s4b [97]
  AlternateDataStreams: C:\Users\eolbl\OneDrive\Рабочий стол\111.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\eolbl\OneDrive\Рабочий стол\1111.png:3or4kl4x13tuuug3Byamue2s4b [97]
  AlternateDataStreams: C:\Users\eolbl\OneDrive\Рабочий стол\1111.png:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\eolbl\OneDrive\Рабочий стол\142124.jpeg:3or4kl4x13tuuug3Byamue2s4b [97]
  AlternateDataStreams: C:\Users\eolbl\OneDrive\Рабочий стол\142124.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\eolbl\OneDrive\Рабочий стол\222.jpeg:3or4kl4x13tuuug3Byamue2s4b [97]
  AlternateDataStreams: C:\Users\eolbl\OneDrive\Рабочий стол\222.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\eolbl\Downloads\123123123124.jpeg:3or4kl4x13tuuug3Byamue2s4b [97]
  AlternateDataStreams: C:\Users\eolbl\Downloads\123123123124.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\eolbl\Downloads\453.jpeg:3or4kl4x13tuuug3Byamue2s4b [93]
  AlternateDataStreams: C:\Users\eolbl\Downloads\453.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\eolbl\Downloads\7н54.jpeg:3or4kl4x13tuuug3Byamue2s4b [93]
  AlternateDataStreams: C:\Users\eolbl\Downloads\7н54.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\eolbl\AppData\Local\Temp:$DATA [16]
  FirewallRules: [{A6D39382-EF8E-4830-96C1-7CA11BB6AF27}] => (Allow) LPort=5357
  FirewallRules: [{EB0DEF43-7704-4A0B-B714-84AC9DA79AF9}] => (Allow) LPort=31337
  FirewallRules: [{EECC520C-6441-4967-B46B-CCE349C66116}] => (Allow) LPort=31337
  FirewallRules: [{6FF9E985-B3C7-4E3E-AD2A-FDFFC081974D}] => (Allow) LPort=31337
  FirewallRules: [{E6B1CF89-F4AA-4047-8395-01B122F9F5D6}] => (Allow) LPort=31337
  FirewallRules: [{E8DD04F0-8551-4C77-BD43-A59ABF584D3E}] => (Allow) LPort=62398
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Eugene_Konovalov]

Сделал

Fixlog.txt

Все еще находится эта грязь в реестре

[Eugene_Konovalov]

Или эти автолаунч и должны там быть? Просто я изначально думал, что именно с помощью них браузер крашился при попытке загуглить инфу о майнере

Изменено 7 мая пользователем Eugene_Konovalov

[Sandor]

Записи нормальные.

 

Удалите из исключений Защитника лишние и сообщите как себя ведёт система в целом (если не заглядывать в реестр).

[Eugene_Konovalov]

Подскажите, пожалуйста, это входит в перечень "лишнего"?

[Sandor]

SppExt... - от активатора, остальное можно удалять.

[Eugene_Konovalov]

Все удалил, с системой вроде все в порядке. Огромное Вам спасибо, двое суток не мог справиться с проблемой

[Sandor]

Хорошо, тогда в завершение, пожалуйста:

1.

Файл 07.05.2025_14.17.54.zip с Рабочего стола прикрепите к следующему сообщению.

 

2.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Eugene_Konovalov]

07.05.2025_14.17.54.zip SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Автоматическое обновление отключено
HotFix KB5048652 Внимание! Скачать обновления
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Sandboxie 5.28 (64-bit) v.5.28 Внимание! Скачать обновления
AMD Software v.18.50.16.01 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.4.6 Внимание! Скачать обновления
CrystalDiskInfo 8.0.0 v.8.0.0 Внимание! Скачать обновления
KC Softwares KCleaner v.3.6.3.102 Данная программа больше не поддерживается разработчиком.
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Recuva v.1.53 Внимание! Скачать обновления
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
Zoom v.5.7.4 (804) Внимание! Скачать обновления
Proton VPN v.3.0.7 Внимание! Скачать обновления
µTorrent v.3.5.5.45449 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.5.0 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u431-windows-x64.exe - Windows Offline (64-bit))^
Java SE Development Kit 7 Update 60 (64-bit) v.1.7.0.600 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-23_windows-x64_bin.exe).
Audacity 2.1.0 v.2.1.0 Внимание! Скачать обновления
K-Lite Codec Pack 16.0.8 Full v.16.0.8 Внимание! Скачать обновления
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
Mozilla Firefox (x64 ru) v.125.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

---------------------------- [ UnwantedApps ] -----------------------------
TNod User & Password Finder v.1.6.7.0 Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
Vit Registry Fix 12.7.0 (Remove only) Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Win Updates Disabler v1.4 v.1.4.0.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Auslogics Driver Updater 1.21.2.0 v.1.21.2.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
GearUP Booster v.2.30.0.355 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Auslogics BoostSpeed v11.0.0 v.11.0.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Читайте Рекомендации после удаления вредоносного ПО

По списку нежелательного ПО - дополнительные сканирования не нужны, просто деинсталлируйте.

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".