Проблема с удалением троянского ПО BitcoinMiner. ( Taskhostw.exe и MicrosoftHost.exe , а также, файла реестра ) [UDS:Trojan.Win32.Eb]

В общем, недавно произошла такая резонная ситуация, в которой я не мог зайти на сайты антивирусного обеспечения, почитал немного об конъюнктуре и осознал, что это троянское ПО или вирусы. Проверил компьютер с помощью "Dr. Web Cure It" и обнаружил более 60 угроз, но, хорошо, что на этом не остановился и решил проверить уже "KVRT", тут ситуация аналогичная, но к основному списку прибавилось еще 3 устойчивые угрозы ( там было 7, на самом деле, но остальные я сумел решить ):
1. c/programmdata/realtekhd ( папка скрытая )/ в ней два файла: taskhostw.exe ( процесс в диспетчере задач аналогично записан и активен постоянно ) и log.txt ( в нем ничего нет ) .
2. c/programmdata/windowstask/ тут тоже два файла: MicrosoftHost.exe ( процесс в диспетчере задач аналогично записан, но возникает на секунд 10 и после пропадает ) и Log.txt ( такой же, как и в папке realtekhd - пустой ).
3. Уже в реестре HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RealtekHD ( сам файл реестра )
Сначала, я их удалил и не сомневался в своей "победе", но после увидел, что они вернулись на место и работают в привычном режиме.
Начал проверять с помощью "GridinSoft Anti-Malware", он тоже их видит, но при этом, увидел еще кучу троянского ПО ( благо, все, за исключением этих трех файлов удалил )
Сегодня, решил поподробнее узнать о проблеме: попытался отключить точки восстановления, но встретился с ошибкой ( когда клавиши в окне "Защита системы" не работают ) *название не помню, но позже смогу предоставить*, посмотрел видеоролик с возможным устранением причины, но у меня отсутствует служба "Программный поставщик теневого..." и я, честно говоря, вошел в состояние когнитивного диссонанса.
Также, забыл отметить, что в тот, период, когда я начал подробно изучать новоиспеченный майнер ( как раз в самом начале повествования ), я заметил папку нового пользователя "John", хотя его не создавал. Мучался долго, но удалил ( не знаю, рационально поступил или по-волюнтаристки ).
И в период от двух до 5 часов 40 минут занимался устранением. Через "AVZ" ( мне понравились рецензии и частая рекомендация на этом сайте на эту программу ) проверял, но она иногда закрывается. Сейчас, проверяю через "TrojanKiller" ( 14 угроз реальных обнаружено ), позже дам результат и ( логи, если смогу их найти ).
P.S На компьютере стоит "AVG" ( по рекомендации дяди ), в реестре не удалял ничего, кроме RealtekHD ( autorun, как я понимаю, который запускает этот "троян" ), не уверен, что образ самый лучший ( переустанавливал месяцев 5 назад ), были проблемы в начале и ошибки частые. Проблему с доступом к популярным сервисам сайтам с антивирусным ПО решил. И, я готов делать все, что скажете, если это понадобится. Иногда могут самопроизвольно закрыться программы по типу: "Свойства папки"/"Диспетчер задач"/Антивирус любой.
P.S.2 Пытался еще установить "ESET Nod32" ( тоже по рекомендациям ), но он не устанавливается. Наверно, из-за конфликта с "AVG". С "MalwareBytes" история интересней, так как я столкнулся с ошибкой после нажатия кнопки в окне установщик "Продолжить и установить". Ошибка: "CreateFile сбой доступа код 5..." Удалил старую папку "MalwareBytes" и смог установить новую версию ( с офф. сайта ), но запустить не могу: в диспетчере задач она появляется, а потом сама закрывается, даже окно на рабочем столе не появляется.
P.S.3 ( добавлено в 19:06 ) Сам по себе вирус, работает и восстанавливается без интернет-подключения.
Приложение: надеюсь, поможете, не очень хочется переустанавливать ОС, несмотря на имеющиеся ошибки, но, даже если и не получится, то я не огорчусь. ( не лень, а желание выявить способ устранения этой проблемы, вдруг столкнусь в будущем )
Так-то, получается, что я удаляю действительно вирус, но при этом, не могу найти и удалить другой вирус, который выполняет репродуктивную функцию и восстанавливает этот.
18:31 - вложение прикрепил.
Заранее, огромное спасибо!
[FONT=Tahoma][/FONT][SIZE=1][SIZE=5][SIZE=1][/SIZE][/SIZE][/SIZE]

Уважаемый(ая) [B]sapperti[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[URL="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
QuarantineFile('C:\Users\Данила\appdata\roaming\winhost.exe','');
QuarantineFile('C:\Users\Данила\appdata\roaming\microsoft\windows\helper.exe','');
QuarantineFile('C:\Windows\winstart.bat','');
QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
TerminateProcessByName('C:\ProgramData\RealtekHD\taskhostw.exe');
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','32');
DeleteFile('C:\Windows\winstart.bat','32');
DeleteFile('C:\Users\Данила\appdata\roaming\microsoft\windows\helper.exe','32');
DeleteFile('C:\Users\Данила\appdata\roaming\winhost.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=219775[/url]

Сделайте повторные логи.

Все действия выполнил, логи с карантина загрузил.
Вот логи после процедуры:

[URL="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
QuarantineFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe','');
TerminateProcessByName('C:\ProgramData\WindowsTask\MicrosoftHost.exe');
DeleteFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe','32');
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip используя ссылку [URL]http://virusinfo.info/upload_virus.php?tid=219775[/URL]

Сделайте повторные логи.

[b]Aleksandra[/b], в действительности логи практически невозможно сделать, если не вмешиваться в процесс. Taskhostw.exe
( вкупе с MicrosoftHost.exe ) запускается и самостоятельно закрывает сначала Диспетчер задач, а после AutoLogger ( если бездействовать ), поэтому пришлось его постоянно прерывать, надеюсь это не помешает анализу.
Логи карантина загрузил, вот логи после повторной процедуры:

[URL="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

Сделайте повторные логи.

Вопрос. У Вас заплатки на ОС все установлены?

[b]Aleksandra[/b], касательно "заплаток", я почитал, но не знаю, есть ли эти "патчи" у меня или нет ( но, я думаю, должны быть, может и не все ), если это как-то связано с обновлением Windows, то я его ( вроде ) отключил после установки чистой ОС. Я просто не самый "аккумулированный" пользователь, поэтому и не знаю, где они находятся и есть они или их нет:(
Если есть такое место, то можете пожалуйста указать, где именно его найти,я проверю и скриншот сделаю и если есть возможность - загружу недостающие. Логи вот:

[URL="https://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[QUOTE]O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe[/QUOTE]

[URL="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

Сделайте повторные логи.

[b]Aleksandra[/b], саму процедуру выполнил дважды, так как в первый раз немного помедлил. Сразу после выполнения "фикса" в "HijackThis", "AVG" высветил окно с указанием на этот "троян", определил его как "MalwareGen32 ( вроде так )" и отправил файл "taskhostw.exe.bak" в карантин. Не знаю, откуда там взялось расширение "bak". Вот новые логи:

Попробуйте выполнить тоже самое еще раз в безопасном режиме.

[b]Aleksandra[/b], попробовал снова, два раза, уже в безопасном режиме, он остается в системе. Я мог бы попробовать аналогичным образом запустить первый скрипт, так как в нем больше команд типа "Delete" и посмотреть, что получится, но не буду самовольно что-то делать.
Вот логи ( если нужны ) :
И логи после работы "HijackThis":

Сделайте лог virusinfo_syscheck (Файл -> Стандартные скрипты №2) с помощью этой версии [url]http://z-oleg.com/avz5.exe[/url]

[URL="https://virusinfo.info/showthread.php?t=121767"]Сделайте полный образ автозапуска uVS[/URL]

[b]Aleksandra[/b], скрипт выполнил, но окошко с предложением сохранить логи не высветилось или его вовсе не должно быть. Где их можно найти, не подскажете пожалуйста?

[QUOTE=sapperti;1485818][b]Aleksandra[/b], скрипт выполнил, но окошко с предложением сохранить логи не высветилось или его вовсе не должно быть. Где их можно найти, не подскажете пожалуйста?[/QUOTE]
Если сохраняли файл на рабочем столе, то и логи должны быть там же. Нужно просто дождаться.

[b]Aleksandra[/b], сглупил, нашел папку, вот virusinfo_syscheck логи:
*Надеюсь, что правильные логи приложил.*

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[b]Aleksandra[/b], конечные логи, сделанные через "uVS" приложить не могу. Места не хватает.
Но, могу дать ссылку на "Яндекс.Диск", на эти самые логи: [url]https://yadi.sk/d/0JfhPSWp3ZiaeX[/url]

Скрипт выполняете в новой версии AVZ, сейчас должен отработать.

[CODE]begin
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

Сделайте повторный лог virusinfo_syscheck.

[b]Aleksandra[/b], сделал все сразу в безопасном режиме, заметил, что при запуске "AVZ", они ( "taskhostw.exe" и "MicrosoftHost.exe" ) самостоятельно запускаются. И, процессы "taskhostw.exe" и "MicrosoftHost.exe" в обычном режиме загрузки все еще появляются. Вот логи virusinfo_syscheck:

Вынесли... В логах активного заражения не увидела. Какие-то проблемы остались?

[b]Aleksandra[/b], пока не вижу проблем, но при запуске антивирусного ПО типа "AVZ" они снова появляются в процессах диспетчера задач, я думаю, что антивирусное ПО просто заражено и поэтому так происходит. А в общем, когда я бездействую в системе или долго не проверяю диспетчер задач, то процесс запускается ( как я определил ). Папки в programmdata ( RealtekHD и WindowsTask еще остались и продолжают "закачиваться" на компьютер после удаления ) и RealtekHD из реестра никуда не делся :(

Приписка 8:36 - проверил, проблемы остались, процесс запускается беспрепятственно при запуске антивирусного ПО, а потом, после первого закрытия в диспетчере, с интервалом в секунды 3, появляется и после повторного закрытия продолжает появляться, но после окончательно "уходит" либо до определенного процесса, либо на время.