Процесс майнер MicrosoftHost.exe

Sandor · Отправлено: **08:13, 11-09-2020** | #2

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\rundll\rundll.exe');
 TerminateProcessByName('c:\programdata\rundll\system.exe');
 TerminateProcessByName('c:\programdata\windows\rutserv.exe');
 QuarantineFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
 QuarantineFile('c:\programdata\rundll\rundll.exe', '');
 QuarantineFile('c:\programdata\rundll\system.exe', '');
 QuarantineFile('c:\programdata\windows\rutserv.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '32');
 DeleteFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
 DeleteFile('c:\programdata\rundll\rundll.exe', '32');
 DeleteFile('c:\programdata\rundll\system.exe', '32');
 DeleteFile('c:\programdata\windows\rutserv.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\TermService\Parameters', 'ServiceDll', 'x64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis:

Код:

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

afattakhov1@vk · Отправлено: **10:23, 11-09-2020** | #3

Нажимаю запустить, выдает ошибку:
Undeclared identifier: 'DeleteSchedulerTask' в позиции 13:21
И указывает на строку DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');

Sandor · Отправлено: **10:24, 11-09-2020** | #4

Запускать следует эту версию:

Цитата:

C:\Users\Samsung\Desktop\autologger\AutoLogger\AVZ\avz.exe

afattakhov1@vk · Отправлено: **10:52, 11-09-2020** | #5

Все сделал по инструкции, проблема теперь решена? по крайней мере в списке процессов ничего нету

Sandor · Отправлено: **10:58, 11-09-2020** | #6

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2789528202-2806050775-268277386-1000\...\MountPoints2: {1eb36e77-225d-11ea-af4d-8a38d1b65448} - F:\SDI_auto.bat
HKU\S-1-5-21-2789528202-2806050775-268277386-1000\...\MountPoints2: {3de9e819-7e3f-11ea-9de9-e811327012ce} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2789528202-2806050775-268277386-1000\...\MountPoints2: {4b22101b-61cb-11ea-86e8-e811327012ce} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2789528202-2806050775-268277386-1000\...\MountPoints2: {6023e2b0-2807-11ea-a8dc-e811327012ce} - F:\HiSuiteDownLoader.exe
CHR HKU\S-1-5-21-2789528202-2806050775-268277386-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
2020-09-10 19:40 - 2020-09-11 09:54 - 011431936 _____ C:\ProgramData\temp5.exe
2020-09-10 13:59 - 2020-09-11 12:29 - 000000000 __SHD C:\ProgramData\Windows
2020-09-10 13:58 - 2020-09-11 12:29 - 000000000 ___HD C:\Program Files\RDP Wrapper
2020-09-10 13:58 - 2020-09-10 13:58 - 000210944 _____ (Microsoft Corporation) C:\Windows\system32\rdpclip.exe
2020-09-10 13:47 - 2020-09-11 09:54 - 000000000 __SHD C:\ProgramData\RunDLL
2020-09-10 13:47 - 2020-09-11 09:23 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-09-10 13:47 - 2020-09-10 15:46 - 000000000 __SHD C:\ProgramData\Setup
2020-09-10 13:47 - 2020-09-10 13:59 - 000000000 __SHD C:\ProgramData\install
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\Norton
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\McAfee
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\grizzly
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\ESET
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\AVAST Software
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\360safe
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\SpyHunter
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\ESET
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\Enigma Software Group
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\COMODO
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\Cezurity
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\ByteFence
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\AVG
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\AVAST Software
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\360
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\KVRT_Data
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\AdwCleaner
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 ____D C:\Windows\speechstracing
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 ____D C:\ProgramData\System32
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 ____D C:\ProgramData\MB3Install
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 ____D C:\ProgramData\Indus
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 ____D C:\ProgramData\Avira
2020-08-18 09:24 - 2017-12-27 22:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
FirewallRules: [{512D656D-7EC4-4095-8FAA-28F855634AE0}] => (Block) LPort=139
FirewallRules: [{4378EA10-4469-40EB-97B1-B8BE88E9C382}] => (Block) LPort=445
FirewallRules: [{A499BC8E-3EE0-42CC-BA7F-4CA51E1D95F6}] => (Block) LPort=445
FirewallRules: [{8C5F3729-0CC6-4D15-AF0B-5F7CB81E8148}] => (Block) LPort=139
FirewallRules: [{60EE6366-9558-4CFC-8FC3-93DD0727C2B3}] => (Allow) LPort=3389
FirewallRules: [{805B6AE7-2A18-4CB6-95AA-A59AC6CCF9F8}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
CMD: net user john /delete
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

afattakhov1@vk · Отправлено: **12:43, 11-09-2020** | #7

спасибо, проблема решена

Sandor · Отправлено: **13:01, 11-09-2020** | #8

Цитата Sandor:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению »

Покажите и не спешите. Вы же не хотите на следующий день опять заразиться, верно?

afattakhov1@vk · Отправлено: **15:43, 11-09-2020** | #9

Да, конечно, просто не заметил просьбы прикрепить

Sandor · Отправлено: **15:49, 11-09-2020** | #10

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.