[РЕШЕНО] Поймал вирус майнер RealtekHD\taskhost.exe (taskhostw.exe)

[BMO]

FRST.zip

При даже включенном касперском открывается браузер хром, далее кликер или что-то в этом роде начинает смотреть ютуб (без шуток). Данный браузер открыть не могу, ток закрыть и видеть в трее. При этом курсор мыши остается блокированным для меня, пока не закрою браузер.
До установки касперского невозможно было зайти в ProgrammData

Изменено 12 августа пользователем BMO
Дополнение

[thyrex]

Здравствуйте.

 

Выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, прикрепите логи к следующему сообщению в текущей теме.

[BMO]

CollectionLog-2025.08.13-15.03.zip Здравствуйте 

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
 QuarantineFile('C:\Users\ilias\AppData\Local\Browserupdphenix\Browserupdphenix.exe', '');
 DeleteSchedulerTask('Browserupdphenix');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('ProtectBrowser');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
 DeleteFile('C:\Users\ilias\AppData\Local\Browserupdphenix\Browserupdphenix.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

 

Ещё раз перезагрузите компьютер.

 

Удалите старые логи в Корзину и соберите новые FRST.txt и Addition.txt

 

 

[BMO]

CollectionLog-2025.08.13-19.02.zip собрал новые логи

[Sandor]

Спасибо! Правда я просил другие логи:

2 часа назад, Sandor сказал:

Удалите старые логи в Корзину и соберите новые FRST.txt и Addition.txt

 

Инструкция на всякий случай:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[BMO]

FRZT.zip сорри, за прошлый лог. Направил верные 

[Sandor]

1.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1496077551-2651061929-2240666253-1001\...\Run: [utweb] => "C:\Users\ilias\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Нет файла)
  Task: {7761FAD9-8901-4910-AE8D-A6C6C1C7734F} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem120.0.6046.0{0834635F-6107-4425-BBE0-1E29C2A24C3D} => "C:\Program Files (x86)\Google\GoogleUpdater\120.0.6046.0\updater.exe"  --wake --system --enable-logging --vmodule=*/components/winhttp/*=1,*/components/update_client/*=2,*/chrome/updater/*=2 (Нет файла)
  Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  Edge StartupUrls: Default -> "hxxp://rusearch.co/","hxxps://find-it.pro/?utm_source=distr_m"
  C:\Users\ilias\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\plociejckddbgkdhjnofmchlhniieclg
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Default -> "hxxp://rusearch.co","hxxps://find-it.pro/?utm_source=distr_m"
  C:\Users\ilias\AppData\Local\Google\Chrome\User Data\Default\Extensions\fjhiakbaddkcofihbjpelfjeocnghgfb
  CHR StartupUrls: Profile 4 -> "hxxps://find-it.pro/?utm_source=distr_m"
  C:\Users\ilias\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\npjpgapbhoedigepmjihgigaijgadmol
  S2 GoogleUpdaterInternalService120.0.6046.0; "C:\Program Files (x86)\Google\GoogleUpdater\120.0.6046.0\updater.exe" --system --windows-service --service=update-internal --enable-logging --vmodule=*/components/winhttp/*=1,*/components/update_client/*=2,*/chrome/updater/*=2 [X]
  S2 GoogleUpdaterService120.0.6046.0; "C:\Program Files (x86)\Google\GoogleUpdater\120.0.6046.0\updater.exe" --system --windows-service --service=update --enable-logging --vmodule=*/components/winhttp/*=1,*/components/update_client/*=2,*/chrome/updater/*=2 [X]
  S1 bwxhfiac; \??\C:\Windows\system32\drivers\bwxhfiac.sys [X]
  S1 wxjntgly; \??\C:\Windows\system32\drivers\wxjntgly.sys [X]
  2025-07-22 17:13 - 2025-08-13 14:53 - 000000000 ____D C:\Users\ilias\AppData\Local\ProtectBrowser
  2025-06-19 17:13 - 2025-08-13 04:49 - 000000000 ____D C:\Users\ilias\AppData\Local\Browserupdphenix
  2025-08-13 05:05 - 2023-06-04 03:06 - 000000000 __SHD C:\ProgramData\WindowsTask
  2025-08-13 04:28 - 2023-06-04 03:07 - 000000000 ___HD C:\Program Files\RDP Wrapper
  2025-08-13 04:27 - 2023-06-04 03:07 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
  2025-08-13 04:10 - 2023-06-04 03:06 - 000000000 __SHD C:\ProgramData\ReaItekHD
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\Users\ilias\AppData\Local\Browserupdphenix"
  Remove-MpPreference -ExclusionPath "C:\Users\ilias\AppData\Local\ProtectBrowser"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  Remove-MpPreference -ExclusionPath "C:\Users\ilias\AppData\Local\DBeaver\dbeaver.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

2.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

Итого жду два отчёта - Fixlog.txt и AV_block_remove_дата-время.log

[BMO]

Fixlog.txtAV_block_remove_2025.08.13-20.58.log

 

Изменено 13 августа пользователем BMO
Добавил не тот лог файл AV_block_remove

[Sandor]

Скрипты отработали успешно. Что сейчас с проблемой?

[BMO]

Спасибо большое, проблема устранена.

[Sandor]

Отлично! В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[BMO]

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Docker Desktop v.4.37.1 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.7.4 Внимание! Скачать обновления
Microsoft 365 - ru-ru v.16.0.18429.20158 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
7-Zip 21.06 v.21.06 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Discord v.1.0.9177 Внимание! Скачать обновления
Zoom v.5.14.5 (15287) Внимание! Скачать обновления
AmneziaWG v.1.0.0 Внимание! Скачать обновления
Google Chrome v.139.0.7258.127 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

[BMO]

Спасибо большое!