Хитрый, живучий, невидимый майнер (winserv.exe/taskhost/taskhostw)

@Zairus · Регистрация: 25.05.2023

Author24 — интернет-сервис помощи студентам

В доте 2 со вчерашнего вечера начало сильно лагать, фризы длились до 15 секунд, а попытка выйти в главное меню закончились чёрным экраном на 4 минуты и последующим закрытием через диспетчер задач на втором рабочем столе, при этом не было никаких сообщений, что дота 2 не отвечает (Win+Tab). Громких шумов и т.п., что могло сигнализировать о плохой работе компьютера, не было.
Утром зайдя первым делом отошел за чафиром, а вернувшись услышал громкий звук работы видеокарты. На афтабёрнере 100% ГП и 100% видеоядро и естественная от такой нагрузки температура 60-70гр. Открыв диспетчер задач, видеокарта умолкает и возвращается к штатной работе. Немного поищя загвоздку в диспетчере, нахожу очень похожие на вирусы процессы: System (запускается из папки Windows Tasks Service, в свойствах подписан как winserv.exe) | ReaItek HD (запускается из папки ReaItek HD, в свойствах обозначен как taskhostw) | COM Surrogate (две из них запущены от папки sustem32, а третья, которую я и подозреваю, в свойствах обозначена как taskhost) |, пути которых, я сразу же нашел и пытаясь ручным и грубым способом удалить, получаю моментальное закрытие проводника и диспетчера (дальше я ещё узнал что закрываются не только папка в которой хранится вирус и диспетчер задач, но и все проводники диска C

. Затишье продливается не долго, минута-две максимум, после чего всё начинается с начала, и чем больше я держу компьютер запущенным тем быстрее майнер обращает внимание на то что я открыл папку ProgramData или диспетчер задач - и следовательно сразу их закрывая, иногда на столько быстро что даже букву прочитать не успееваешь.
P.S. пути, где, предполагаю, хранятся вирусы:
C:\ProgramData\Windows Tasks Service | C:\ProgramData\ReaItekHD | C:\ProgramData\WindowsTask
Сознаюсь... пытался самостоятельно удалить более техничным путём; запускал в безопасном режиме и через консоль удалял всё из папок (вышеперечисленных) командами типа dir /a:h ,что-бы узнать, что удалять, а после del /a:h . удаляя всё что там находилось. Удалял сразу из всех трёх подозрительных папок, но удалить del /a:h .. не получалось, писало что отказано в доступе, а виноват в этом ntuser.pol находящийся скрытым в папке ProgramData.
В дополнение напишу, запуск любых программ антивирусов/сайтов по типу вашего(с ссылками на autologger)/упомнинание слова антивирус в поисковой страничке/и даже ролики с темами как его удалить, пришлось искать на телефоне. Из этого вылазит неприятная... ФИГНЯ, запустить в обычном запуске AutoLogger невозможно, получается дойти до запуска AVZ, но после открытия браузеров сразу же закрывается без ошибок/незаконченных логов и т.п. Смог получить логи лишь из безопасного режима. Надеюсь поможет.

@Zairus · 25.05.2023, 16:19 **[ТС]**

Вот логи из безопасного режима (читать последний абзац)

@Zairus · 25.05.2023, 16:21 **[ТС]**

Вот логи с безопасного режима

@Sandor · 25.05.2023, 16:30

Здравствуйте!

Скачайте AV block remover (или отсюда).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером уже из нормального режима.

Добавлено через 8 минут
Если ещё не начинали, скачайте эту версию AVbr, пожалуйста. Дальше все по инструкции.

@Zairus · 25.05.2023, 16:53 **[ТС]**

Всё сделано по вашим инструкциям. Компьютер больше не грузится из-за майнера, во время работы с AV предлогал удалить пользователя JOHN и майнер воздействующий на сеть, везде согласился

@Sandor · 25.05.2023, 16:58

Сообщение от Zairus

AV предлогал удалить пользователя JOHN и майнер воздействующий на сеть, везде согласился

Однако в логе видим:

The user refused to delete John’s account.

То есть, вы отказались удалить.

Запустите ещё раз AVbr (скачайте его по последней ссылке из моего сообщения) и запустите в нормальном режиме.
Прикрепите его новый лог и соберите новый CollectionLog.

@Zairus · 25.05.2023, 17:26 **[ТС]**

Ещё раз всё сделал, AV по последней ссылке, удалить John не предлагал

@Zairus · 25.05.2023, 18:13 **[ТС]**

И ещё хотел спросить, когда на моём компьютере был winserv я не мог ничего скачать, поэтому пользовался флешкой и другими компьютерами (-ами потому что на одном ссд нету и переход между сайтами был невозможно долгим, а потом мне отдали ноут и я с него уже всё сделал), нужно ли мне проводить те-же махинации что и на заражённом компьютере?
И последний вопрос если позволите... мне нужен офисный бесплатный антивирус без лишних постоянно всплывающих окон, просто и надёжный, можно конечно же и платный, но если есть плата навсегда или не большая за год.

@Sandor · 26.05.2023, 08:22

Не торопитесь, нам есть ещё над чем поработать.

Внимание! Рекомендации написаны специально для пользователя Zairus. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour
porcelain-politicians

2. Пофиксите в HijackThis только следующие строчки:

Код

O22 - Tasks: \Microsoft\Windows\MapInfoS\RecoveryHosts - C:\Programdata\Microsoft\dobiw\script.bat (file missing)
O22 - Tasks: \Microsoft\Windows\MapInfoS\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\CreedMobe - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\DataRecovery - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: AdLock Update Task-S-1-5-21-4272681071-922079316-3416492674-1000 - C:\WINDOWS\System32\msiexec.exe /i "C:\Users\User\AppData\Local\Programs\ivanovsasha224\30148bb0a5.msi" /quiet CHROME=1
O22 - Tasks: AsrAPPShop - C:\Program Files (x86)\ASRock Utility\Auto Driver Installer\AsrAPPShop.exe (file missing)
O22 - Tasks: jDACdhmJhsRrOtNad - C:\WINDOWS\Temp\sjYAXirdQbngkPot\KISJshUSgUInlEk\FoLCMTu.exe wB /site_id 690689 /S (file missing)
O22 - Tasks: PlfEBCmQrUbyE2 - C:\WINDOWS\system32\forfiles.exe /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\ruKuqCXmjFqPnsVB\PBrVeDZ.wsf^""
O22 - Tasks: porcelain-politicians - C:\ProgramData\practice-portions\bin.exe /H (file missing)

Перезагрузите компьютер.

3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@Zairus · 26.05.2023, 18:25 **[ТС]**

txt форматом не поместились, загрузил 7zip, версия 64. Перед FRST пофиксил 10 процессов и перезапустил. Также оба ПО удалил через панель управления.

@Sandor · 27.05.2023, 12:15

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: C:\WINDOWS\Tasks\jDACdhmJhsRrOtNad.job => C:\WINDOWS\Temp\sjYAXirdQbngkPot\KISJshUSgUInlEk\FoLCMTu.exe <==== ВНИМАНИЕ
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m","hxxps://go.microsoft.com/fwlink/?LinkId=625119&clcid=0x419"
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> cdn
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
2023-05-24 23:09 - 2023-05-24 23:09 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
2023-05-24 23:09 - 2023-05-24 23:09 - 000000000 __SHD C:\Users\User\Downloads\AV_block_remover
2023-05-24 23:09 - 2023-05-24 23:09 - 000000000 __SHD C:\Users\User\Desktop\AV_block_remover
2023-05-24 23:09 - 2023-05-24 23:09 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-05-24 23:09 - 2023-05-24 23:09 - 000000000 __SHD C:\Program Files\RogueKiller
AV: 360 Total Security (Disabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-4272681071-922079316-3416492674-1000\...\{116e8583-70fd-4065-9d63-99bc5bff4972}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
FirewallRules: [{82AB2063-4C24-4033-BF63-15BD2F30FA48}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣呱䜶⹋硥e => Нет файла
FirewallRules: [{F5159BCA-14F7-41C1-A244-63F6A0F82AEB}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{13BFE115-AA75-45DA-89B7-13B13A2516D5}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{96BBF268-65A2-4D76-9A61-5D1921D551AB}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣䄴瘷攮數 => Нет файла
FirewallRules: [{561D6AEE-65F5-4C2E-86F7-8DCC9621ABF6}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣彅橨⹣硥e => Нет файла
FirewallRules: [{0775DF54-8B37-4D2A-A5CB-AD0AC9F9915E}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{579AADDC-CD3F-456D-80DC-92D3ED3A2D65}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{9FC5BE0B-4963-4818-BD95-FC7296F73A44}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣楱䨸攮數 => Нет файла
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Zairus · 27.05.2023, 13:06 **[ТС]**

Отключил антивирус - скопировал - запустил, FRST перезагрузил компьютер, вкладки остались но из аккаунтов повыходило, пароли остались сохранены в памяти яндекса.
Так же образовался файл с непонятным названием, прикрепил и его на всякий случай.

@Sandor · 28.05.2023, 10:22

Скрипт достаточно было выполнить один раз.

Ещё один небольшой скрипт выполните в безопасном режиме:

Выделите следующий код:

Код

Start::
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\MicrosoftHost.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Zairus · 28.05.2023, 10:36 **[ТС]**

Есть (наверное) некоторая проблема, фикс в безопасном режиме занял не более 1 секунд, после чего сразу же предложил перезапуск. Код, что вы скинули, я точно скопировал. . . Лог прикрепил

@Sandor · 29.05.2023, 08:00

Сообщение от Zairus

Есть (наверное) некоторая проблема, фикс в безопасном режиме занял не более 1 секунд

Скрипт выполнился успешно.

Что с первоначальной проблемой?

@Zairus · 29.05.2023, 09:25 **[ТС]**

После первого использования AutoLoggger и AVbr в обычном запуске, у меня пропали все проблема, т.е. все симптомы майнера и вируса который хочет "защитится" от удаления. Спасибо помогли очень. Но у меня ещё есть вопросик по поводу антивирусника, потому что на защитник win10 надежды нету, пользовался раньше 2 года им, а потом устав от его беспомощности поставил avast.

@Sandor · 29.05.2023, 09:31

Так в чём вопрос?

Пока в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Zairus · 29.05.2023, 12:11 **[ТС]**

Вопрос в том, какой лучше антивирус поставить, на ваш выбор.
Вот лог, что вы просили.

@Sandor · 29.05.2023, 12:22

Исправьте по возможности:
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен контроль учетных записей (UAC)?

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - en-us v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - en-us.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Python 3.5.1 (32-bit) v.3.5.1150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9008 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11 Внимание! Скачать обновления
iTunes v.12.12.8.2 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
iTunes 2.5.17 v.2.5.17 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
K-Lite Mega Codec Pack 15.9.0 v.15.9.0 Внимание! Скачать обновления
The KMPlayer 3.0.0.1442 v.RePack (01.10.2019)
------------------------------- [ Browser ] -------------------------------
Opera Stable 79.0.4143.22 v.79.0.4143.22 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Yandex v.23.5.0.2253 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner 5.75.8238 v.5.75.8238 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Сообщение от Zairus

какой лучше антивирус поставить

Важно, чтобы он был запущен и базы в актуальном состоянии. Avast ушёл из России, поэтому выбирайте тот, у которого есть поддержка.
Антивирус Касперского, например.

Читайте Рекомендации после удаления вредоносного ПО

@Zairus 0 / 0 / 0 Регистрация: 25.05.2023 Сообщений: 11
		1
	Хитрый, живучий, невидимый майнер (winserv.exe/taskhost/taskhostw) 25.05.2023, 16:17. Показов 18732. Ответов 18 Метки нет (Все метки) В доте 2 со вчерашнего вечера начало сильно лагать, фризы длились до 15 секунд, а попытка выйти в главное меню закончились чёрным экраном на 4 минуты и последующим закрытием через диспетчер задач на втором рабочем столе, при этом не было никаких сообщений, что дота 2 не отвечает (Win+Tab). Громких шумов и т.п., что могло сигнализировать о плохой работе компьютера, не было. Утром зайдя первым делом отошел за чафиром, а вернувшись услышал громкий звук работы видеокарты. На афтабёрнере 100% ГП и 100% видеоядро и естественная от такой нагрузки температура 60-70гр. Открыв диспетчер задач, видеокарта умолкает и возвращается к штатной работе. Немного поищя загвоздку в диспетчере, нахожу очень похожие на вирусы процессы: System (запускается из папки Windows Tasks Service, в свойствах подписан как winserv.exe) \| ReaItek HD (запускается из папки ReaItek HD, в свойствах обозначен как taskhostw) \| COM Surrogate (две из них запущены от папки sustem32, а третья, которую я и подозреваю, в свойствах обозначена как taskhost) \|, пути которых, я сразу же нашел и пытаясь ручным и грубым способом удалить, получаю моментальное закрытие проводника и диспетчера (дальше я ещё узнал что закрываются не только папка в которой хранится вирус и диспетчер задач, но и все проводники диска C. Затишье продливается не долго, минута-две максимум, после чего всё начинается с начала, и чем больше я держу компьютер запущенным тем быстрее майнер обращает внимание на то что я открыл папку ProgramData или диспетчер задач - и следовательно сразу их закрывая, иногда на столько быстро что даже букву прочитать не успееваешь. P.S. пути, где, предполагаю, хранятся вирусы: C:\ProgramData\Windows Tasks Service \| C:\ProgramData\ReaItekHD \| C:\ProgramData\WindowsTask Сознаюсь... пытался самостоятельно удалить более техничным путём; запускал в безопасном режиме и через консоль удалял всё из папок (вышеперечисленных) командами типа dir /a:h ,что-бы узнать, что удалять, а после del /a:h . удаляя всё что там находилось. Удалял сразу из всех трёх подозрительных папок, но удалить del /a:h .. не получалось, писало что отказано в доступе, а виноват в этом ntuser.pol находящийся скрытым в папке ProgramData. В дополнение напишу, запуск любых программ антивирусов/сайтов по типу вашего(с ссылками на autologger)/упомнинание слова антивирус в поисковой страничке/и даже ролики с темами как его удалить, пришлось искать на телефоне. Из этого вылазит неприятная... ФИГНЯ, запустить в обычном запуске AutoLogger невозможно, получается дойти до запуска AVZ, но после открытия браузеров сразу же закрывается без ошибок/незаконченных логов и т.п. Смог получить логи лишь из безопасного режима. Надеюсь поможет. 0

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	25.05.2023, 16:30	4
	Сообщение было отмечено Zairus как решение Решение Здравствуйте! Скачайте AV block remover (или отсюда). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Как вариант, можно воспользоваться версией со случайным именем. Если и так не сработает, запускайте из безопасного режима с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером уже из нормального режима. Добавлено через 8 минут Если ещё не начинали, скачайте эту версию AVbr, пожалуйста. Дальше все по инструкции. 1

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	25.05.2023, 16:58	6
	Сообщение от Zairus AV предлогал удалить пользователя JOHN и майнер воздействующий на сеть, везде согласился Однако в логе видим: The user refused to delete John’s account. То есть, вы отказались удалить. Запустите ещё раз AVbr (скачайте его по последней ссылке из моего сообщения) и запустите в нормальном режиме. Прикрепите его новый лог и соберите новый CollectionLog. 1

@Zairus 0 / 0 / 0 Регистрация: 25.05.2023 Сообщений: 11
	25.05.2023, 18:13 [ТС]	8
	И ещё хотел спросить, когда на моём компьютере был winserv я не мог ничего скачать, поэтому пользовался флешкой и другими компьютерами (-ами потому что на одном ссд нету и переход между сайтами был невозможно долгим, а потом мне отдали ноут и я с него уже всё сделал), нужно ли мне проводить те-же махинации что и на заражённом компьютере? И последний вопрос если позволите... мне нужен офисный бесплатный антивирус без лишних постоянно всплывающих окон, просто и надёжный, можно конечно же и платный, но если есть плата навсегда или не большая за год. 0

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	26.05.2023, 08:22	9
	Не торопитесь, нам есть ещё над чем поработать. Внимание! Рекомендации написаны специально для пользователя Zairus. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ 1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Bonjour porcelain-politicians 2. Пофиксите в HijackThis только следующие строчки: Код O22 - Tasks: \Microsoft\Windows\MapInfoS\RecoveryHosts - C:\Programdata\Microsoft\dobiw\script.bat (file missing) O22 - Tasks: \Microsoft\Windows\MapInfoS\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\CreedMobe - C:\Windows\SysWOW64\unsecapp.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\DataRecovery - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: AdLock Update Task-S-1-5-21-4272681071-922079316-3416492674-1000 - C:\WINDOWS\System32\msiexec.exe /i "C:\Users\User\AppData\Local\Programs\ivanovsasha224\30148bb0a5.msi" /quiet CHROME=1 O22 - Tasks: AsrAPPShop - C:\Program Files (x86)\ASRock Utility\Auto Driver Installer\AsrAPPShop.exe (file missing) O22 - Tasks: jDACdhmJhsRrOtNad - C:\WINDOWS\Temp\sjYAXirdQbngkPot\KISJshUSgUInlEk\FoLCMTu.exe wB /site_id 690689 /S (file missing) O22 - Tasks: PlfEBCmQrUbyE2 - C:\WINDOWS\system32\forfiles.exe /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\ruKuqCXmjFqPnsVB\PBrVeDZ.wsf^"" O22 - Tasks: porcelain-politicians - C:\ProgramData\practice-portions\bin.exe /H (file missing) Перезагрузите компьютер. 3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 1

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	29.05.2023, 08:00	15
	Сообщение от Zairus Есть (наверное) некоторая проблема, фикс в безопасном режиме занял не более 1 секунд Скрипт выполнился успешно. Что с первоначальной проблемой? 0

@Zairus 0 / 0 / 0 Регистрация: 25.05.2023 Сообщений: 11
	29.05.2023, 09:25 [ТС]	16
	После первого использования AutoLoggger и AVbr в обычном запуске, у меня пропали все проблема, т.е. все симптомы майнера и вируса который хочет "защитится" от удаления. Спасибо помогли очень. Но у меня ещё есть вопросик по поводу антивирусника, потому что на защитник win10 надежды нету, пользовался раньше 2 года им, а потом устав от его беспомощности поставил avast. 0

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	29.05.2023, 09:31	17
	Так в чём вопрос? Пока в завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	29.05.2023, 12:22	19
	Исправьте по возможности: ------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Так ли страшен контроль учетных записей (UAC)? --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Office Professional Plus 2019 - en-us v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Microsoft Office Professional Plus 2019 - en-us.proof v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Python 3.5.1 (32-bit) v.3.5.1150.0 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ 7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ -------------------------- [ IMAndCollaborate ] --------------------------- Discord v.1.0.9008 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- VLC media player v.3.0.11 Внимание! Скачать обновления iTunes v.12.12.8.2 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ iTunes 2.5.17 v.2.5.17 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ K-Lite Mega Codec Pack 15.9.0 v.15.9.0 Внимание! Скачать обновления The KMPlayer 3.0.0.1442 v.RePack (01.10.2019) ------------------------------- [ Browser ] ------------------------------- Opera Stable 79.0.4143.22 v.79.0.4143.22 Внимание! Скачать обновления ^Проверьте обновления через меню Обновление и восстановление!^ Yandex v.23.5.0.2253 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ ---------------------------- [ UnwantedApps ] ----------------------------- CCleaner 5.75.8238 v.5.75.8238 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы. toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Сообщение от Zairus какой лучше антивирус поставить Важно, чтобы он был запущен и базы в актуальном состоянии. Avast ушёл из России, поэтому выбирайте тот, у которого есть поддержка. Антивирус Касперского, например. Читайте Рекомендации после удаления вредоносного ПО 0

Хитрый, живучий, невидимый майнер (winserv.exe/taskhost/taskhostw)

Решение