Майнер (или троян)

Здравствуйте, на ноутбуке появился майнер (или троян), который значительно повышает расход батареи и периодически самопроизвольно производит перезагрузку устройства.
Иногда можно обнаружить его в диспетчере задач замаскированным под WMI Provider Host. Антивирусные программы типа Malwarebytes открыть не дает (хотя HitmanPro запустить удавалось, но чистка им результатов не принесла), при попытках открыть сайты с антивирусной тематикой (например, этот форум) закрывает браузер.
Несколько месяцев назад сканирование встроенным антивирусом Windows Defender подтверждало наличие вируса, однако сейчас любой скан (быстрый, полный и с помощью Defender Offline) утверждает, что все чисто. Тем не менее вышеописанные симптомы имеют место быть.
Помогите, пожалуйста, решить проблему. Заранее спасибо.

Уважаемый(ая) [B]O_o[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

Скачайте [url=https://inlnk.ru/ZZNRdX]AV block remover[/url].
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт [b]AV_block_remove_дата-время.log[/b], прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый [b]CollectionLog[/b] Автологером.

Прикрепляю логи.

Хорошо, в целом уже должно полегчать.

[URL=http://virusinfo.info/showthread.php?t=4491]"Пофиксите" в HijackThis[/URL]:
[CODE]
O4 - HKLM\..\Run: [RealtekUA Audio] = C:\ProgramData\RealtekUA\taskhostw.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

[/CODE]
Перезагрузите компьютер.

Дополнительно:
Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B] ([B]Scan[/B]).
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Прошу прощения, строка O7 у меня выглядит несколько иначе. В таком случае ее выбирать?

Нет, O7 не отмечайте, только O4
Продолжайте.

Прикрепляю отчеты.

Тут порядок, за исключением того, что на системном диске почти нет свободного места:
[QUOTE]Drive c: (Windows) (Fixed) (Total:120 GB) (Free:2.77 GB)[/QUOTE]
Должно быть не менее 20% от общего его объема.

Проблема решена?

Спасибо Вам большое! Судя по всему, проблема решена.
Что-то нужно дополнительно сделать после лечения компьютера?

Да, завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]

Прикрепляю файл.

Исправьте по возможности:
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.20.10.22.14 [color=red][b]Warning! [url=https://www.amd.com/en/support]Download Update[/url][/b][/color]
Git v.2.33.0.2 [color=red][b]Warning! [url=https://git-scm.com/download/win]Download Update[/url][/b][/color]
Oracle VM VirtualBox 5.2.44 v.5.2.44 [color=red][b]Warning! [url=https://www.virtualbox.org/wiki/Downloads]Download Update[/url][/b][/color]
Wireshark 4.0.1 64-bit v.4.0.1 [color=red][b]Warning! [url=https://www.wireshark.org/download.html]Download Update[/url][/b][/color]
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-bit) v.6.02.0 [color=red][b]Warning! [url=https://www.rarlab.com/download.htm]Download Update[/url][/b][/color]
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.3.10 [color=red][b]Warning! [url=https://github.com/paintdotnet/release/releases/latest]Download Update[/url][/b][/color]
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 [color=red][b]Warning! [url=https://discordapp.com/api/download?platform=win]Download Update[/url][/b][/color]
Microsoft Teams v.1.5.00.14473 [color=red][b]Warning! [url=https://teams.microsoft.com/downloads]Download Update[/url][/b][/color]
Zoom v.5.12.2 (9281) [color=red][b]Warning! [url=https://zoom.us/client/latest/ZoomInstaller.exe]Download Update[/url][/b][/color]
Skype version 8.85 v.8.85 [color=red][b]Warning! [url=https://go.skype.com/windows.desktop.download]Download Update[/url][/b][/color]
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46672 [b][color=red]Warning! Ad-supported P2P-client[/color][/b].
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.17.4 [color=red][b]Warning! [url=https://www.videolan.org/vlc/download-windows.html]Download Update[/url][/b][/color]
------------------------------- [ Browser ] -------------------------------
Yandex.Telemost v.1.0.45.1303 [color=red][b]Warning! [url=https://browser.yandex.com/]Download Update[/url][/b][/color]
Yandex (All Users) v.23.5.2.625 [color=red][b]Warning! [url=https://browser.yandex.com/]Download Update[/url][/b][/color]
---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer version 9.01 v.9.01 [b]Warning![/b] Suspected demo version of anti-spyware, driver updater or [url=https://support.microsoft.com/en-us/help/2563254/microsoft-support-policy-for-the-use-of-registry-cleaning-utilities]optimizer[/url]. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url]. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.


Читайте [URL="http://virusinfo.info/showthread.php?t=121902"][b]Советы и рекомендации после лечения компьютера.[/b][/URL]