Поймал майнер который нагружал видеокарту, прятался под названием RealtekHD

[TheGame112]

Доброго времени суток, поймал майнер прятался под названием RealtekHD, закрывал браузер(если набирать майнер, вирус и так далее) и программы для его нахождения, я его нашел вроде перестал закрывать браузер и так далее, но паранойя не дает спать спокойно) не могли бы помочь найти его если он все таки остался. Заранее спасибо за ответы.

[Info_bot]

Уважаемый(ая) TheGame112, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKLM\..\Run: [UrbanVPN] = C:\Program Files\UrbanVPN\UrbanVPNUpdater.exe /checknow -minuseractions -startappfirst -restartapp "C:\Program Files\UrbanVPN\bin\urbanvpn-gui.exe" (file missing)
O15 - Trusted Zone: *.localhost
O15 - Trusted Zone: http://webcompanion.comO22 - Tasks: \Microsoft\Windows\WindowsBackup\OfficeCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: AnVir Task Manager - C:\Program Files (x86)\AnVir Task Manager\anvir.exe Minimized (file missing)
O22 - Tasks: Anvirlauncher - C:\Program Files (x86)\AnVir Task Manager\anvirlauncher.exe (file missing)

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[TheGame112]

вроде все сделал так, странно что утилита AV block remove не запускается с рабочего стола ,но запускается из диска D.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
HKU\S-1-5-21-4226062500-1421707547-1076626251-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-4226062500-1421707547-1076626251-1001\...\Run: [AMDNoiseSuppression] => "C:\Windows\system32\AMD\ANR\AMDNoiseSuppression.exe" (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
File: C:\Program Files\Windows Sidebar\sidebar.exe
Folder: C:\ProgramData\ReaItekHD 3232132321321323321321
Task: {9F729FA2-2B4D-4B0D-8F6C-DC3B60681572} - System32\Tasks\Microsoft\Windows\WindowsBackup\OfficeCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
CHR HKU\S-1-5-21-4226062500-1421707547-1076626251-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [eppiocemhmnlbhjplcgkofciiegomcon]
CHR HKLM-x32\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
S3 klupd_e593497aa_arkmon_884A2DE3; \??\C:\KVRT2020_Data\Temp\884A2DE375AE76CB792BE5F52BE82064\klupd_e593497aa_arkmon.sys [X]
S3 rsDwf; \SystemRoot\system32\DRIVERS\rsDwf.sys [X]
U2 SetupARService; отсутствует ImagePath
2023-05-02 11:55 - 2023-05-02 18:04 - 000000000 ____D C:\KVRT2020_Data
2023-05-02 11:55 - 2023-05-02 15:24 - 000000000 ____D C:\AdwCleaner
2023-05-02 11:55 - 2023-05-02 11:55 - 000000000 __SHD C:\Users\Nikita\Downloads\AV_block_remover
2023-05-02 11:55 - 2023-05-02 11:55 - 000000000 __SHD C:\Users\Nikita\Desktop\AV_block_remover
2023-05-02 11:55 - 2023-05-02 11:55 - 000000000 __SHD C:\Program Files\HitmanPro
2023-05-02 11:55 - 2023-05-02 11:55 - 000000000 ____D C:\Program Files\7-Zip
2023-05-02 11:54 - 2023-05-03 00:51 - 000000000 __SHD C:\ProgramData\ReaItekHD 3232132321321323321321
CustomCLSID: HKU\S-1-5-21-4226062500-1421707547-1076626251-1001_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\Nikita\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4226062500-1421707547-1076626251-1001_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\Nikita\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4226062500-1421707547-1076626251-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Nikita\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4226062500-1421707547-1076626251-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Nikita\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4226062500-1421707547-1076626251-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Nikita\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4226062500-1421707547-1076626251-1001_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\Nikita\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4226062500-1421707547-1076626251-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Nikita\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4226062500-1421707547-1076626251-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Nikita\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4226062500-1421707547-1076626251-1001_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\Nikita\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла
ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Нет файла
ContextMenuHandlers2: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Нет файла
ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Нет файла
ContextMenuHandlers1_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
ContextMenuHandlers4_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
ContextMenuHandlers5_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2022.lnk:F7B133A22A [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3314]
AlternateDataStreams: C:\Users\Nikita\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Nikita\Application Data:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
AlternateDataStreams: C:\Users\Nikita\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Nikita\AppData\Roaming:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\e593497a.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\e593497a.sys => ""="Driver"
HKU\S-1-5-21-4226062500-1421707547-1076626251-1001\...\StartupApproved\Run: => "Web Companion"
FirewallRules: [{402115A9-A90F-43E5-B115-8490F28BF417}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [{C6DA1FF9-BEA5-4003-864A-EC5889A16BA3}] => (Allow) C:\Users\Nikita\Downloads\android-unlocker.exe => Нет файла
FirewallRules: [{373AAB99-0355-41B5-948F-A2E09DE39A92}] => (Allow) C:\Users\Nikita\Downloads\android-unlocker.exe => Нет файла
FirewallRules: [{C7214259-36CE-4163-A8F3-3329D26778CC}] => (Block) C:\Program Files (x86)\PassFab Android Unlocker\Start.exe => Нет файла
FirewallRules: [{DA6E8242-5052-44CC-9487-90842484DBC0}] => (Allow) C:\Users\Nikita\Downloads\4ukey-for-android.exe => Нет файла
FirewallRules: [{97B5149E-B39C-48AA-8DD6-2F4F995B9583}] => (Allow) C:\Users\Nikita\Downloads\4ukey-for-android.exe => Нет файла
FirewallRules: [{F34AFFBD-8E87-4699-94AA-8F30AD663716}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{5793CB12-DF72-4E7A-9CFF-46057AA1ECEE}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{018802F3-7885-46CB-B808-C2EACB9F8F6C}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{D0CBDBED-DA0E-420F-BD0F-B2AA08CB0ADA}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{F4F7FFC0-6927-4DD6-B97D-AA190D05DD33}] => (Block) C:\Program Files (x86)\4uKey\Tenorshare 4uKey.exe => Нет файла
FirewallRules: [{ECA4A170-0FDA-4828-85F6-70DA6E91F7F1}] => (Allow) C:\Users\Nikita\Downloads\reiboot.exe => Нет файла
FirewallRules: [{FDF5B0F6-69F7-496E-857F-4B36D7B1B5B3}] => (Allow) C:\Users\Nikita\Downloads\reiboot.exe => Нет файла
FirewallRules: [{5E874235-F29B-43F3-AEB9-EDA6EE273279}] => (Allow) C:\Users\Nikita\Downloads\4mekey.exe => Нет файла
FirewallRules: [{476AD1BB-084C-45A9-9E14-ECE6C69E01A5}] => (Allow) C:\Users\Nikita\Downloads\4mekey.exe => Нет файла
FirewallRules: [{46598E7F-5250-4CE4-A9B4-35D2F887F366}] => (Allow) C:\Users\Nikita\Downloads\reiboot (1).exe => Нет файла
FirewallRules: [{C1DD8187-0440-470B-9E13-779E1F782FD3}] => (Allow) C:\Users\Nikita\Downloads\reiboot (1).exe => Нет файла
FirewallRules: [{F714EA23-7CA7-4EF8-AF4B-6C4A602B8ABE}] => (Allow) C:\Program Files\AMD\CNext\CNext\AMDLink.exe => Нет файла
FirewallRules: [TCP Query User{D99F49C3-78F5-48D3-ACF4-9C7DB7BFF986}C:\users\nikita\appdata\roaming\utorrent\updates\utorrent.exe] => (Allow) C:\users\nikita\appdata\roaming\utorrent\updates\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{87F8E4F0-2893-4ED6-9F44-195279AE3DB0}C:\users\nikita\appdata\roaming\utorrent\updates\utorrent.exe] => (Allow) C:\users\nikita\appdata\roaming\utorrent\updates\utorrent.exe => Нет файла
FirewallRules: [{C8424FFA-7619-4F2D-AA11-A500772220A3}] => (Allow) C:\Program Files (x86)\AOMEI\AOMEI Backupper\7.2.0\ABService.exe => Нет файла
FirewallRules: [{2CD34863-A7C6-496A-AC63-D7B04966340F}] => (Allow) C:\Program Files (x86)\AOMEI\AOMEI Backupper\7.2.0\ABService.exe => Нет файла
FirewallRules: [{A3B34B45-EB52-451E-B78E-0E9BAE1812D8}] => (Allow) C:\Program => Нет файла
FirewallRules: [{D5175E0A-55C9-4AAD-93CE-E5BA8CF22B23}] => (Allow) C:\Program => Нет файла
FirewallRules: [{A5A95391-7F14-4D69-960B-C787BDE1316B}] => (Allow) C:\Program => Нет файла
FirewallRules: [{D1E4E24F-877E-4833-9A86-49DA73C6B38B}] => (Allow) C:\Program => Нет файла
FirewallRules: [{BC2B54D8-2C59-40F4-A585-E4685031CC9E}] => (Allow) C:\Program => Нет файла
FirewallRules: [{9992276A-1D32-4893-9520-908BDE2841A0}] => (Allow) C:\Program => Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив с помощью WinRar с максимальным сжатием и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[TheGame112]

сделал

[Vvvyg]

Файл c:\FRST\Quarantine\c\ProgramData\ReaItekHD 3232132321321323321321\taskhostw.exe проверьте на virustotal и дайте ссылку на результат.

[TheGame112]

проблема в том что у меня нет этой папки по этому пути, оно не отображается, хотя отображение скрытых папок включено

[Vvvyg]

Попробуем найти.
Скопируйте в буфер обмена следующий код:

Код:

Start::
Folder: C:\FRST\Quarantine
End::

В FRST нажмите один раз Исправить, по завершении приложите новый Fixlog.txt.

[TheGame112]

сделал

[Vvvyg]

А уже и не нужно продолжение, образец проверен.

Завершаем.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[TheGame112]

какие мои дальнейшие действия или это все? и еще вопрос можно ли переустановить Windows не боясь что вирус подцепится, и уже будет на новой системе ?

[Vvvyg]

Все хвосты майнера вычистили. Подцепили его, наверняка, с одной из игр с торрентов.
Переустанавливайте систему без опасений. но показаний к этому я не вижу.

[TheGame112]

Большое спасибо за помощь