Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.86/103: Рейтинг темы: голосов - 103, средняя оценка - 4.86
0 / 0 / 0
Регистрация: 06.09.2020
Сообщений: 13
1

Троян(или майнер), который маскируется под процессом NT Kernel and System

07.09.2020, 19:25. Показов 21420. Ответов 17
Метки нет (Все метки)

НЕдавно столкнулся с проблемой: производительность моего компьютера резко понижалась в отдельные промежутки времени(абсолютно рандомно). Виной всему оказался вирус(предположительно майнер), который может не только понижать производительность ПК, но и закрывать отдельные программы(такие как антивирусы, браузер с открытой вкладкой сайта с антивирусом и всё в этом духе). Почему-то Dr.Web CureIt не закрывался, и именно этим антивирусом я впервые попробовал устранить проблему(получилось только на маленький отрезок времени его удалить, но потом он снова появился).Надеюсь на вашу помощь, ибо браузер неимоверно сильно тупит в последнее время. CollectionLog-2020.09.07-14.31.zip
Вот эти 2 процесса:
Троян(или майнер), который маскируется под процессом NT Kernel and System

Это если нажать подробно на 1 из них:Название: Taskmgr_W5B9ywdeSb.png
Просмотров: 210

Размер: 2.2 Кб
0

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
07.09.2020, 19:25
Ответы с готовыми решениями:

Майнер маскируется под Realtek HD Audio. Как вылечить комп?
Недавно заметил, что комп начал виснуть. Поначалу думал, что проблема с охлаждением видюхи. Через...

Что-то маскируется под системные процессы и грузит систему (подозреваю майнер)
Доброго времени. Сегодня, после загрузки системы заметил, что все действия происходят с задержкой....

Майнер, маскирующийся под NT Kernel и Realtek HD
Словил на свою голову эту гадость. Блокирует установку любых антивирусов, грузит процессор,...

Майнер маскирующийся под Realtek и NT Kernel
Приветствую, подозреваю что после скачивания фотошопа и интернета, компьютер начал грузится за все...

17
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,492
07.09.2020, 20:59 2
Выполните скрипт в AVZ C:\Users\debek\AppData\Local\Microsoft\Windows\INetCache\IE\ TWIF0VKW\AutoLogger\AVZ\svchost.pif (Файл - Выполнить скрипт):

Код
begin
 TerminateProcessByName('c:\programdata\realtekhd\taskhost.exe');
 TerminateProcessByName('c:\programdata\windows\rutserv.exe');
 TerminateProcessByName('c:\programdata\windowstask\microsofthost.exe');
 TerminateProcessByName('c:\programdata\windowstask\audiodg.exe');
 TerminateProcessByName('c:\programdata\windowstask\appmodule.exe');
 QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe', '');
 QuarantineFile('c:\programdata\realtekhd\taskhostw.exe', '');
 QuarantineFile('c:\programdata\realtekhd\taskhost.exe', '');
 QuarantineFile('c:\programdata\windows\rutserv.exe', '');
 QuarantineFile('c:\programdata\windowstask\microsofthost.exe', '');
 QuarantineFile('c:\programdata\windowstask\audiodg.exe', '');
 QuarantineFile('c:\programdata\windowstask\appmodule.exe', '');
 DeleteFile('c:\programdata\windowstask\appmodule.exe', '32');
 DeleteFile('c:\programdata\windowstask\audiodg.exe', '32');
 DeleteFile('c:\programdata\windowstask\microsofthost.exe', '32');
 DeleteFile('c:\programdata\windows\rutserv.exe', '32');
 DeleteFile('c:\programdata\realtekhd\taskhost.exe', '32');
 DeleteFile('c:\programdata\realtekhd\taskhostw.exe', '32');
 DeleteFile('C:\Programdata\WindowsTask\winlogon.exe', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
 DeleteFile('c:\programdata\windows\rutserv.exe', '64');
 DeleteFile('c:\programdata\windowstask\appmodule.exe', '64');
 DeleteService('RManService');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 ClearHostsFile;
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению здесь на форуме прикреплять файл quarantine.7z не нужно!

Пофиксите в HJT C:\Users\debek\AppData\Local\Microsoft\Windows\INetCache\IE\ TWIF0VKW\AutoLogger\HiJackThis\HJT.pif

Код
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html
0
0 / 0 / 0
Регистрация: 06.09.2020
Сообщений: 13
07.09.2020, 21:05  [ТС] 3
Троян(или майнер), который маскируется под процессом NT Kernel and System
0
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,492
07.09.2020, 21:14 4
AVZ нужно брать из состава Автологгера
0
0 / 0 / 0
Регистрация: 06.09.2020
Сообщений: 13
07.09.2020, 21:16  [ТС] 5
Да, извините, я уже понял
0
0 / 0 / 0
Регистрация: 06.09.2020
Сообщений: 13
07.09.2020, 21:26  [ТС] 6
Не могу найти файл quarantine.7z он же должен находиться в этой папке?
Троян(или майнер), который маскируется под процессом NT Kernel and System
Троян(или майнер), который маскируется под процессом NT Kernel and System
0
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,492
07.09.2020, 21:49 7
запакуйте папку quarantine в архив 7z с паролем virus и отправьте по форме
0
0 / 0 / 0
Регистрация: 06.09.2020
Сообщений: 13
07.09.2020, 21:55  [ТС] 8
FRST.rar FRST логи
0
0 / 0 / 0
Регистрация: 06.09.2020
Сообщений: 13
07.09.2020, 22:03  [ТС] 9
Вроде бы всё сделал
0
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,492
07.09.2020, 22:06 10
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код
Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-4224339370-3627809761-499081276-1001\...\Run: [Zoom] => [X]
BootExecute: autocheck autochk * sh4native 7099
GroupPolicy: Restriction ? <==== ATTENTION
S3 esgiguard; \??\D:\SpyHunter\esgiguard.sys [X]
2020-09-07 21:18 - 2020-06-03 16:56 - 000000000 __SHD C:\ProgramData\Windows
2020-09-07 21:18 - 2020-05-28 14:54 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-09-07 21:42 - 2020-05-24 15:13 - 000000410 __RSH C:\ProgramData\ntuser.pol
2020-09-07 21:14 - 2020-05-28 14:54 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-09-04 21:56 - 2020-05-28 14:55 - 000000000 __SHD C:\ProgramData\McAfee
2020-09-04 14:01 - 2020-06-03 16:57 - 000000000 __SHD C:\rdp
2020-09-04 14:01 - 2020-05-28 14:54 - 000000000 __SHD C:\ProgramData\Setup
2020-09-04 14:01 - 2020-05-28 14:54 - 000000000 __SHD C:\ProgramData\install
2020-05-08 17:52 - 2017-12-27 20:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
CMD: net user john /delete
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
0
0 / 0 / 0
Регистрация: 06.09.2020
Сообщений: 13
07.09.2020, 22:15  [ТС] 11
Fixlog.txt
0
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,492
08.09.2020, 05:56 12
Удалите старые логи frst в корзину и подготовьте новые
0
0 / 0 / 0
Регистрация: 06.09.2020
Сообщений: 13
08.09.2020, 14:07  [ТС] 13
Addition.rar
0
Вирусоборец
16619 / 13587 / 2452
Регистрация: 08.10.2012
Сообщений: 55,080
08.09.2020, 14:18 14
Переделайте, пожалуйста, ещё раз эти логи, только предварительно отметьте галочкой пункт "90 days files".

Отставить, сейчас будет скрипт.

Добавлено через 2 минуты
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-4224339370-3627809761-499081276-1001\...\MountPoints2: {13f856cb-9e05-11ea-a17b-806e6f6e6963} - "F:\Install.exe" 
    CHR StartupUrls: Default -> "hxxps://www.google.ru/","hxxp://mail.ru/cnt/10445?gp=812204","hxxp://mail.ru/cnt/10445?gp=811560","hxxp://mail.ru/cnt/10445?gp=843036","hxxp://mail.ru/cnt/10445?gp=811138","hxxp://mail.ru/cnt/10445?gp=834410","hxxp://mail.ru/cnt/10445?gp=834409"
    2020-05-28 14:55 C:\AdwCleaner
    2020-05-28 14:55 C:\KVRT_Data
    2020-05-28 14:55 C:\Program Files\AVAST Software
    2020-05-28 14:55 C:\Program Files\AVG
    2020-05-28 14:55 C:\Program Files\ByteFence
    2020-05-28 14:55 C:\Program Files\Cezurity
    2020-05-28 14:55 C:\Program Files\COMODO
    2020-06-03 16:57 C:\Program Files\Enigma Software Group
    2020-05-28 14:55 C:\Program Files\ESET
    2020-05-28 14:55 C:\Program Files\Kaspersky Lab
    2020-05-28 14:55 C:\Program Files\Malwarebytes
    2020-05-28 14:55 C:\Program Files\SpyHunter
    2020-05-28 14:55 C:\Program Files (x86)\360
    2020-05-28 14:55 C:\Program Files (x86)\AVAST Software
    2020-05-28 14:55 C:\Program Files (x86)\AVG
    2020-05-28 14:55 C:\Program Files (x86)\Cezurity
    2020-05-28 14:55 C:\Program Files (x86)\GRIZZLY Antivirus
    2020-05-28 14:55 C:\Program Files (x86)\Kaspersky Lab
    2020-05-28 14:55 C:\Program Files (x86)\Microsoft JDX
    2020-05-28 14:55 C:\Program Files (x86)\Panda Security
    2020-05-28 14:55 C:\Program Files (x86)\SpyHunter
    2020-05-28 14:55 C:\Windows\speechstracing
    2020-05-28 14:55 C:\Program Files\Common Files\McAfee
    2020-05-28 14:55 C:\ProgramData\360safe
    2020-05-28 14:55 C:\ProgramData\AVAST Software
    2020-05-28 14:55 C:\ProgramData\Avira
    2020-06-04 02:33 C:\ProgramData\Doctor Web
    2020-05-28 14:55 C:\ProgramData\ESET
    2020-05-28 14:55 C:\ProgramData\grizzly
    2020-05-28 14:55 C:\ProgramData\Indus
    2020-05-28 14:55 C:\ProgramData\Kaspersky Lab
    2020-05-28 14:55 C:\ProgramData\Kaspersky Lab Setup Files
    2020-05-28 14:55 C:\ProgramData\Malwarebytes
    2020-05-28 14:55 C:\ProgramData\MB3Install
    2020-05-28 14:55 C:\ProgramData\Norton
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
1
0 / 0 / 0
Регистрация: 06.09.2020
Сообщений: 13
08.09.2020, 14:30  [ТС] 15
Fixlog.txt
0
Вирусоборец
16619 / 13587 / 2452
Регистрация: 08.10.2012
Сообщений: 55,080
08.09.2020, 15:00 16
Что с проблемой?
0
0 / 0 / 0
Регистрация: 06.09.2020
Сообщений: 13
08.09.2020, 15:25  [ТС] 17
Самого процесса нет в дисепетчере задач, сайты с антивирусами не закрываются, браузер стал явно меньше тупить. Вроде как от проблемы избавились. Спасибо вам огромное!
0
Вирусоборец
16619 / 13587 / 2452
Регистрация: 08.10.2012
Сообщений: 55,080
08.09.2020, 15:31 18
В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
08.09.2020, 15:31

Вирус/Майнер маскирующий под RealtekHD - NT Kernel
Не знаю откуда подцепил вирус маскирующий под RealtekHD, и NT Kernel. завершил проццес NT Kernel -...

Вирус биткойн майнер и троян
Доброго времени суток! приступим . Месяца 2 назад столкнулся с проблемой-взломали соц сеть...

вирус, или скрытый майнер который закрывает диспетчер задач
здравствуйте, поймал вирус или майнер, когда открываю диспетчер задач то на пару секунд ЦП загружен...

вирус маскируется под процесс???
у меня прога Malwarebytes' Anti-Malware 1.50.1.1100 постоянно блокирует процесс svchost.exe) и...

Вирус маскируется под аудиодрайвер
Добрый вечер! У меня появилась не раз описанная на форуме проблема с вирусом майнером,...

System NT Kernel & System CPU грузит
здравствуйте, после установки SSD (kingston hyperx fury) установил чистую windows 10, но по...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
18
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.