Троян(или майнер), который маскируется под процессом NT Kernel and System

@Cyberdebil · Регистрация: 06.09.2020

Студворк — интернет-сервис помощи студентам

НЕдавно столкнулся с проблемой: производительность моего компьютера резко понижалась в отдельные промежутки времени(абсолютно рандомно). Виной всему оказался вирус(предположительно майнер), который может не только понижать производительность ПК, но и закрывать отдельные программы(такие как антивирусы, браузер с открытой вкладкой сайта с антивирусом и всё в этом духе). Почему-то Dr.Web CureIt не закрывался, и именно этим антивирусом я впервые попробовал устранить проблему(получилось только на маленький отрезок времени его удалить, но потом он снова появился).Надеюсь на вашу помощь, ибо браузер неимоверно сильно тупит в последнее время. CollectionLog-2020.09.07-14.31.zip
Вот эти 2 процесса:

Троян(или майнер), который маскируется под процессом NT Kernel and System

Это если нажать подробно на 1 из них: Название: Taskmgr_W5B9ywdeSb.png
Просмотров: 296

Размер: 2.2 Кб

@severnyj · 07.09.2020, 20:59

Выполните скрипт в AVZ C:\Users\debek\AppData\Local\Microsoft\W indows\INetCache\IE\TWIF0VKW\AutoLogger\ AVZ\svchost.pif (Файл - Выполнить скрипт):

Code
begin
 TerminateProcessByName('c:\programdata\realtekhd\taskhost.exe');
 TerminateProcessByName('c:\programdata\windows\rutserv.exe');
 TerminateProcessByName('c:\programdata\windowstask\microsofthost.exe');
 TerminateProcessByName('c:\programdata\windowstask\audiodg.exe');
 TerminateProcessByName('c:\programdata\windowstask\appmodule.exe');
 QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe', '');
 QuarantineFile('c:\programdata\realtekhd\taskhostw.exe', '');
 QuarantineFile('c:\programdata\realtekhd\taskhost.exe', '');
 QuarantineFile('c:\programdata\windows\rutserv.exe', '');
 QuarantineFile('c:\programdata\windowstask\microsofthost.exe', '');
 QuarantineFile('c:\programdata\windowstask\audiodg.exe', '');
 QuarantineFile('c:\programdata\windowstask\appmodule.exe', '');
 DeleteFile('c:\programdata\windowstask\appmodule.exe', '32');
 DeleteFile('c:\programdata\windowstask\audiodg.exe', '32');
 DeleteFile('c:\programdata\windowstask\microsofthost.exe', '32');
 DeleteFile('c:\programdata\windows\rutserv.exe', '32');
 DeleteFile('c:\programdata\realtekhd\taskhost.exe', '32');
 DeleteFile('c:\programdata\realtekhd\taskhostw.exe', '32');
 DeleteFile('C:\Programdata\WindowsTask\winlogon.exe', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
 DeleteFile('c:\programdata\windows\rutserv.exe', '64');
 DeleteFile('c:\programdata\windowstask\appmodule.exe', '64');
 DeleteService('RManService');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 ClearHostsFile;
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению здесь на форуме прикреплять файл quarantine.7z не нужно!

Пофиксите в HJT C:\Users\debek\AppData\Local\Microsoft\W indows\INetCache\IE\TWIF0VKW\AutoLogger\ HiJackThis\HJT.pif

Code
1
2
3
4
5
6
7
8
9
10
11
12
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html

@Cyberdebil · 07.09.2020, 21:05 **[ТС]**

@severnyj · 07.09.2020, 21:14

AVZ нужно брать из состава Автологгера

@Cyberdebil · 07.09.2020, 21:16 **[ТС]**

Да, извините, я уже понял

@Cyberdebil · 07.09.2020, 21:26 **[ТС]**

Не могу найти файл quarantine.7z он же должен находиться в этой папке?

@severnyj · 07.09.2020, 21:49

запакуйте папку quarantine в архив 7z с паролем virus и отправьте по форме

@Cyberdebil · 07.09.2020, 21:55 **[ТС]**

FRST.rar FRST логи

@Cyberdebil · 07.09.2020, 22:03 **[ТС]**

Вроде бы всё сделал

@severnyj · 07.09.2020, 22:06

Отключите до перезагрузки антивирус.
Выделите следующий код:

Code
Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-4224339370-3627809761-499081276-1001\...\Run: [Zoom] => [X]
BootExecute: autocheck autochk * sh4native 7099
GroupPolicy: Restriction ? <==== ATTENTION
S3 esgiguard; \??\D:\SpyHunter\esgiguard.sys [X]
2020-09-07 21:18 - 2020-06-03 16:56 - 000000000 __SHD C:\ProgramData\Windows
2020-09-07 21:18 - 2020-05-28 14:54 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-09-07 21:42 - 2020-05-24 15:13 - 000000410 __RSH C:\ProgramData\ntuser.pol
2020-09-07 21:14 - 2020-05-28 14:54 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-09-04 21:56 - 2020-05-28 14:55 - 000000000 __SHD C:\ProgramData\McAfee
2020-09-04 14:01 - 2020-06-03 16:57 - 000000000 __SHD C:\rdp
2020-09-04 14:01 - 2020-05-28 14:54 - 000000000 __SHD C:\ProgramData\Setup
2020-09-04 14:01 - 2020-05-28 14:54 - 000000000 __SHD C:\ProgramData\install
2020-05-08 17:52 - 2017-12-27 20:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
CMD: net user john /delete
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

@Cyberdebil · 07.09.2020, 22:15 **[ТС]**

Fixlog.txt

@severnyj · 08.09.2020, 05:56

Удалите старые логи frst в корзину и подготовьте новые

@Cyberdebil · 08.09.2020, 14:07 **[ТС]**

Addition.rar

@Sandor · 08.09.2020, 14:18

Переделайте, пожалуйста, ещё раз эти логи, только предварительно отметьте галочкой пункт "90 days files".

Отставить, сейчас будет скрипт.

Добавлено через 2 минуты
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
Start::
CreateRestorePoint:
HKU\S-1-5-21-4224339370-3627809761-499081276-1001\...\MountPoints2: {13f856cb-9e05-11ea-a17b-806e6f6e6963} - "F:\Install.exe" 
CHR StartupUrls: Default -> "hxxps://www.google.ru/","hxxp://mail.ru/cnt/10445?gp=812204","hxxp://mail.ru/cnt/10445?gp=811560","hxxp://mail.ru/cnt/10445?gp=843036","hxxp://mail.ru/cnt/10445?gp=811138","hxxp://mail.ru/cnt/10445?gp=834410","hxxp://mail.ru/cnt/10445?gp=834409"
2020-05-28 14:55 C:\AdwCleaner
2020-05-28 14:55 C:\KVRT_Data
2020-05-28 14:55 C:\Program Files\AVAST Software
2020-05-28 14:55 C:\Program Files\AVG
2020-05-28 14:55 C:\Program Files\ByteFence
2020-05-28 14:55 C:\Program Files\Cezurity
2020-05-28 14:55 C:\Program Files\COMODO
2020-06-03 16:57 C:\Program Files\Enigma Software Group
2020-05-28 14:55 C:\Program Files\ESET
2020-05-28 14:55 C:\Program Files\Kaspersky Lab
2020-05-28 14:55 C:\Program Files\Malwarebytes
2020-05-28 14:55 C:\Program Files\SpyHunter
2020-05-28 14:55 C:\Program Files (x86)\360
2020-05-28 14:55 C:\Program Files (x86)\AVAST Software
2020-05-28 14:55 C:\Program Files (x86)\AVG
2020-05-28 14:55 C:\Program Files (x86)\Cezurity
2020-05-28 14:55 C:\Program Files (x86)\GRIZZLY Antivirus
2020-05-28 14:55 C:\Program Files (x86)\Kaspersky Lab
2020-05-28 14:55 C:\Program Files (x86)\Microsoft JDX
2020-05-28 14:55 C:\Program Files (x86)\Panda Security
2020-05-28 14:55 C:\Program Files (x86)\SpyHunter
2020-05-28 14:55 C:\Windows\speechstracing
2020-05-28 14:55 C:\Program Files\Common Files\McAfee
2020-05-28 14:55 C:\ProgramData\360safe
2020-05-28 14:55 C:\ProgramData\AVAST Software
2020-05-28 14:55 C:\ProgramData\Avira
2020-06-04 02:33 C:\ProgramData\Doctor Web
2020-05-28 14:55 C:\ProgramData\ESET
2020-05-28 14:55 C:\ProgramData\grizzly
2020-05-28 14:55 C:\ProgramData\Indus
2020-05-28 14:55 C:\ProgramData\Kaspersky Lab
2020-05-28 14:55 C:\ProgramData\Kaspersky Lab Setup Files
2020-05-28 14:55 C:\ProgramData\Malwarebytes
2020-05-28 14:55 C:\ProgramData\MB3Install
2020-05-28 14:55 C:\ProgramData\Norton
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Cyberdebil · 08.09.2020, 14:30 **[ТС]**

Fixlog.txt

@Sandor · 08.09.2020, 15:00

Что с проблемой?

@Cyberdebil · 08.09.2020, 15:25 **[ТС]**

Самого процесса нет в дисепетчере задач, сайты с антивирусами не закрываются, браузер стал явно меньше тупить. Вроде как от проблемы избавились. Спасибо вам огромное!

@Sandor · 08.09.2020, 15:31

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Новые блоги и статьи Все статьи Все блоги /
Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .

@Cyberdebil 0 / 0 / 0 Регистрация: 06.09.2020 Сообщений: 13

	Троян(или майнер), который маскируется под процессом NT Kernel and System 07.09.2020, 19:25. Показов 34235. Ответов 17 Метки нет (Все метки) НЕдавно столкнулся с проблемой: производительность моего компьютера резко понижалась в отдельные промежутки времени(абсолютно рандомно). Виной всему оказался вирус(предположительно майнер), который может не только понижать производительность ПК, но и закрывать отдельные программы(такие как антивирусы, браузер с открытой вкладкой сайта с антивирусом и всё в этом духе). Почему-то Dr.Web CureIt не закрывался, и именно этим антивирусом я впервые попробовал устранить проблему(получилось только на маленький отрезок времени его удалить, но потом он снова появился).Надеюсь на вашу помощь, ибо браузер неимоверно сильно тупит в последнее время. CollectionLog-2020.09.07-14.31.zip Вот эти 2 процесса: Это если нажать подробно на 1 из них: 0

@Cyberdebil 0 / 0 / 0 Регистрация: 06.09.2020 Сообщений: 13
	07.09.2020, 21:05 [ТС]
	0

@severnyj 6432 / 2918 / 586 Регистрация: 04.04.2012 Сообщений: 10,586
	07.09.2020, 21:14
	AVZ нужно брать из состава Автологгера 0

@Cyberdebil 0 / 0 / 0 Регистрация: 06.09.2020 Сообщений: 13
	07.09.2020, 21:16 [ТС]
	Да, извините, я уже понял 0

@Cyberdebil 0 / 0 / 0 Регистрация: 06.09.2020 Сообщений: 13
	07.09.2020, 21:26 [ТС]
	Не могу найти файл quarantine.7z он же должен находиться в этой папке? 0

@severnyj 6432 / 2918 / 586 Регистрация: 04.04.2012 Сообщений: 10,586
	07.09.2020, 21:49
	запакуйте папку quarantine в архив 7z с паролем virus и отправьте по форме 0

@Cyberdebil 0 / 0 / 0 Регистрация: 06.09.2020 Сообщений: 13
	07.09.2020, 21:55 [ТС]
	FRST.rar FRST логи 0

@Cyberdebil 0 / 0 / 0 Регистрация: 06.09.2020 Сообщений: 13
	07.09.2020, 22:03 [ТС]
	Вроде бы всё сделал 0

@Cyberdebil 0 / 0 / 0 Регистрация: 06.09.2020 Сообщений: 13
	07.09.2020, 22:15 [ТС]
	Fixlog.txt 0

@severnyj 6432 / 2918 / 586 Регистрация: 04.04.2012 Сообщений: 10,586
	08.09.2020, 05:56
	Удалите старые логи frst в корзину и подготовьте новые 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,981
	08.09.2020, 15:00
	Что с проблемой? 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,981
	08.09.2020, 15:31
	В завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Cyberdebil 0 / 0 / 0 Регистрация: 06.09.2020 Сообщений: 13
	08.09.2020, 14:07 [ТС]
	Addition.rar 0

@Cyberdebil 0 / 0 / 0 Регистрация: 06.09.2020 Сообщений: 13
	08.09.2020, 14:30 [ТС]
	Fixlog.txt 0

@Cyberdebil 0 / 0 / 0 Регистрация: 06.09.2020 Сообщений: 13
	08.09.2020, 15:25 [ТС]
	Самого процесса нет в дисепетчере задач, сайты с антивирусами не закрываются, браузер стал явно меньше тупить. Вроде как от проблемы избавились. Спасибо вам огромное! 0