Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.91/11: Рейтинг темы: голосов - 11, средняя оценка - 4.91
0 / 0 / 0
Регистрация: 16.12.2020
Сообщений: 12
1

Майнер MicrosoftHost(NT Kernel & System)

19.12.2020, 20:01. Показов 1926. Ответов 10
Метки нет (Все метки)

Добрый день. Поймал беду, антивирь взахлеб все пытается удалять файлы из папок WindowsTask, RunDLL и т.д. Прошу помочь
0

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Вложения
Тип файла: zip CollectionLog-2020.12.19-19.52.zip (75.3 Кб, 5 просмотров)
Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
19.12.2020, 20:01
Ответы с готовыми решениями:

Очередной майнер маскируется под NT Kernel & System
Примерно месяц не обращал на это внимания, пока комп в режиме простоя не начинал гудеть, как под...

Подхватил скрытый майнер NT Kernel & System. Не могу удалить
Всем доброго времени суток. Подхватил майнер. Через минуту закрывает диспетчер. Установить...

Kernel & Systems вирус майнер
Добрый день! Вирус грузит процессор, температура до 90 градусов поднимается. Открываю диспетчер...

NT Kernel & Systems вирус майнер заражен 2-ой ноутбук
Добрый день! Второй мой ноутбук заразился одним и тем же вирусом. Все симптомы совпадают. NT...

10
Вирусоборец
16644 / 13605 / 2459
Регистрация: 08.10.2012
Сообщений: 55,170
19.12.2020, 22:10 2
Лучший ответ Сообщение было отмечено MrGothic как решение

Решение

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя MrGothic. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    {Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
    var
    ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders : TStringList;
    
    procedure FillList;
    begin
     PD_folders := TStringList.Create;
     PD_folders.Add('360TotalSecurity');
     PD_folders.Add('360safe');
     PD_folders.Add('AVAST Software');
     PD_folders.Add('Avg');
     PD_folders.Add('Avira');
     PD_folders.Add('ESET');
     PD_folders.Add('Indus');
     PD_folders.Add('Kaspersky Lab Setup Files');
     PD_folders.Add('Kaspersky Lab');
     PD_folders.Add('MB3Install');
     PD_folders.Add('Malwarebytes');
     PD_folders.Add('McAfee');
     PD_folders.Add('Norton');
     PD_folders.Add('grizzly');
     PD_folders.Add('RealtekHD');
     PD_folders.Add('RunDLL');
     PD_folders.Add('Setup');
     PD_folders.Add('System32');
     PD_folders.Add('Windows');
     PD_folders.Add('WindowsTask');
     PD_folders.Add('install');
     PF_folders := TStringList.Create;
     PF_folders.Add('360');
     PF_folders.Add('AVAST Software');
     PF_folders.Add('AVG');
     PF_folders.Add('ByteFence');
     PF_folders.Add('COMODO');
     PF_folders.Add('Cezurity');
     PF_folders.Add('Common Files\McAfee');
     PF_folders.Add('ESET');
     PF_folders.Add('Enigma Software Group');
     PF_folders.Add('GRIZZLY Antivirus');
     PF_folders.Add('Kaspersky Lab');
     PF_folders.Add('Malwarebytes');
     PF_folders.Add('Microsoft JDX');
     PF_folders.Add('SpyHunter');
     PF_folders.Add('RDP Wrapper');
     O_folders := TStringList.Create;
     O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
     O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
     O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
     O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
     O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
    end;
    
    procedure Del_folders(path:string; AFL : TStringList);
    var
    i : integer;
    begin
     for i := 0 to AFL.Count - 1 do
     begin
      fname := NormalDir(path + AFL[i]);
      if DirectoryExists(fname) then
    	  begin
    		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
    		  DeleteFileMask(fname, '*', true);
    		  DeleteDirectory(fname);
    	  end;
     end;
    end;
    
    procedure swprv;
    begin
     ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
     RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
     RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
     RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
     RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
     RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
     OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
     if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
     ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
     ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
    end;
    
    procedure  AV_block_remove;
    begin
     clearlog;
     FillList;
     ProgramData := GetEnvironmentVariable('ProgramData');
     ProgramFiles := NormalDir('%PF%');
     ProgramFiles86 := NormalDir('%PF% (x86)');
     Del_folders(ProgramData +'\', PD_folders);
     Del_folders(ProgramFiles, PF_folders);
     Del_folders(ProgramFiles86, PF_folders);
     Del_folders('', O_folders);
     if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
     ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
     RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
     RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
     RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
     swprv;
     if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
     SaveLog(GetAVZDirectory +'AV_block_remove.log');
     PD_folders.Free;
     PF_folders.Free;
     O_folders.Free;
     ExecuteWizard('SCU', 2, 3, true);
     ExecuteSysClean;
    end;
    
    begin
     AV_block_remove;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
     DeleteFile(GetAVZDirectory+'quarantine.7z');
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
    end.
  2. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
    К сообщению прикреплять файл quarantine.7z не нужно!


  3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    (Если не помещаются, упакуйте).
    Подробнее читайте в этом руководстве.
0
0 / 0 / 0
Регистрация: 16.12.2020
Сообщений: 12
19.12.2020, 23:02  [ТС] 3
Отчеты
0
Вложения
Тип файла: rar Отчеты.rar (33.3 Кб, 2 просмотров)
Вирусоборец
16644 / 13605 / 2459
Регистрация: 08.10.2012
Сообщений: 55,170
20.12.2020, 14:50 4
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    Task: {032A9462-175C-43C2-85AD-F7C7A5E1B54D} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe <==== ATTENTION
    Task: {117CD018-ED81-44E4-AD7D-ABE9FDC0EF1B} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
    Task: {43DCCA80-0DFA-4C12-A74C-EC1AF9CDF15D} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
    Task: {9F1DC235-689F-4178-9904-953A95C599CC} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
    Task: {CB302DD4-35CE-4D5F-812D-BBFCE4E8635A} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
    Task: {CFD2E32D-09FD-4BBA-95C4-1309FB61D469} - no filepath
    CHR Notifications: Default -> hxxps://club.panasonic.ru; hxxps://doctorhead.ru; hxxps://drawing.pixel.one; hxxps://drive.google.com; hxxps://eda.ru; hxxps://eplaza.panasonic.ru; hxxps://eu.forums.blizzard.com; hxxps://music.yandex.ru; hxxps://na-more-365.ru; hxxps://ru.pinterest.com; hxxps://samoletgroup.ru; hxxps://spartak.ru; hxxps://tickets.spartak.ru; hxxps://web.whatsapp.com; hxxps://www.ecco-shoes.ru; hxxps://www.ikea.com; hxxps://www.mos.ru; hxxps://www.nlstar.com; hxxps://www.pinterest.ru; hxxps://www.s7.ru; hxxps://www.sportmaster.ru; hxxps://www.svyaznoy.ru; hxxps://www.youtube.com
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart1","hxxp://www.istartsurf.com/?type=hp&ts=1445158444&z=f74d9a26fa40797be14ca60gbzdz9w1gdw5bez6z0z&from=cor&uid=wdcxwd3200aaks-22l6a0_wd-wcav2y34381843818","hxxp://mail.ru/cnt/10445?gp=812253","hxxp://www.trotux.com/?z=1cc9d0229c2d13a43135373g6zfm0g3web1g1eaz6t&from=fss&uid=WDCXWD3200AAKS-22L6A0_WD-WCAV2Y34381843818&type=hp"
    C:\Users\MrGothic\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\bejnpnkhfgfkcpgikiinojlmdcjimobi
    C:\Users\MrGothic\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\hpcghcdjnehpkdecaflpedhklimnejia
    C:\Users\MrGothic\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\ibknafobnmndicojahlppolcaaibngjf
    C:\Users\MrGothic\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\pfigaoamnncijbgomifamkmkidnnlikl
    C:\Users\MrGothic\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\bejnpnkhfgfkcpgikiinojlmdcjimobi
    C:\Users\MrGothic\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\hpcghcdjnehpkdecaflpedhklimnejia
    C:\Users\MrGothic\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\pfigaoamnncijbgomifamkmkidnnlikl
    CHR HKU\S-1-5-21-3991534838-3870781167-3896292314-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    CHR HKU\S-1-5-21-3991534838-3870781167-3896292314-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
    CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi]
    CHR HKLM-x32\...\Chrome\Extension: [fagakgcelolinfnkfgekcnedpaklfcok]
    CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia]
    CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
    2020-11-29 15:55 - 2020-11-29 15:55 - 000000000 __SHD C:\ProgramData\Doctor Web
    2020-11-29 15:55 - 2020-11-29 15:55 - 000000000 ____D C:\rdp
    2020-12-19 22:23 - 2020-04-10 19:05 - 000000000 __SHD C:\ProgramData\WindowsTask
    2020-12-19 22:23 - 2020-04-10 19:05 - 000000000 __SHD C:\ProgramData\RunDLL
    2020-12-19 22:23 - 2020-04-10 19:05 - 000000000 __SHD C:\ProgramData\RealtekHD
    FirewallRules: [{A4B6538E-D638-4C6A-960B-AB7D267ED3CF}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
    FirewallRules: [{9F2E26DE-FB3C-4B5F-B3BA-27F8EEF600AD}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
    FirewallRules: [{D8037971-4D7D-46AE-A50B-136FE4A1A030}] => (Allow) LPort=9494
    FirewallRules: [{8ED6B777-D635-4D6F-8BDA-70F32B2B6729}] => (Allow) LPort=9393
    FirewallRules: [{6948F5A4-FB93-48F0-8F47-88768D94FAC5}] => (Allow) LPort=9494
    FirewallRules: [{7A362473-FB2C-4745-974C-9AE0789D7271}] => (Allow) LPort=9393
    FirewallRules: [{BA0DD172-CC72-4D18-8BD1-F75B8A106097}] => (Block) LPort=445
    FirewallRules: [{C8CC112C-E868-4B5A-AA46-F6787DB283D6}] => (Block) LPort=139
    FirewallRules: [{EEE5C337-B1BA-499F-8CA3-CFA71D481C60}] => (Block) LPort=139
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
0
0 / 0 / 0
Регистрация: 16.12.2020
Сообщений: 12
21.12.2020, 10:12  [ТС] 5
отчет
0
Вложения
Тип файла: rar Fixlog.rar (2.7 Кб, 2 просмотров)
Вирусоборец
16644 / 13605 / 2459
Регистрация: 08.10.2012
Сообщений: 55,170
21.12.2020, 10:55 6
Проблема решена?
1
0 / 0 / 0
Регистрация: 16.12.2020
Сообщений: 12
21.12.2020, 13:46  [ТС] 7
Да, все отлично) большое спасибо !!!
0
Вирусоборец
16644 / 13605 / 2459
Регистрация: 08.10.2012
Сообщений: 55,170
21.12.2020, 14:11 8
В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
0
0 / 0 / 0
Регистрация: 16.12.2020
Сообщений: 12
23.12.2020, 00:49  [ТС] 9
отчет
0
Вложения
Тип файла: txt SecurityCheck.txt (13.4 Кб, 3 просмотров)
Вирусоборец
16644 / 13605 / 2459
Регистрация: 08.10.2012
Сообщений: 55,170
23.12.2020, 09:25 10
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR archiver Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.8-I602-Win7 v.2.4.8-I602-Win7 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u271-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Creative Cloud v.3.9.5.353 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
MediaGet v.2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
DriverPack Notifier v.2.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО
0
0 / 0 / 0
Регистрация: 16.12.2020
Сообщений: 12
23.12.2020, 09:36  [ТС] 11
Спасибо
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
23.12.2020, 09:36

Троян(или майнер), который маскируется под процессом NT Kernel and System
НЕдавно столкнулся с проблемой: производительность моего компьютера резко понижалась в отдельные...

NT Kernel & System загружает систему
Приветствую. Последнее время постоянно виснет компьютер в браузере, открыв диспетчер задач вижу там...

NT Kernel & System грузит систему
Здравствуйте. Помогите пожалуйста. NT Kernel &amp; System 3 или 4 в диспечере грузит процесор (после...

Вирус маскируется под nt kernel & system
Вирус не даёт переустановить windows, установить антивирусы, блокирует некоторые сайты, закрывает...

NT Kernel & System сильно грузит систему
Здравствуйте. При пользовании браузером заметил, что комп начал подвисать(фризы при воспроизведении...

NT Kernel & System процесс сильно грузит Win10
После посещения сомнительного сайта начал перегреваться ноутбук, в процессах диспетчера задач...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
11
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.