Вместе с файлом из интернета захватил троян

[itsmaxx]

Здравствуйте! Вчера скачал одну программу и, после её установки, началось... Большая нагрузка на оперативку неким файлом MicrosoftHost.exe, заражённый контейнер RealtekHDAudio , на смену программы видеокарты (ПО Radeon) пришли зараженные файлы, и ещё, возможно, заражённый файл, необходимый для работы одной программы. Все заражённые файлы обнаружились с помощью Cureit в безопасном режиме, также, я нашёл в регистре значения, запрещающие запускать файлы-установщики антивирусов, в файле hosts удалил все блокируемые сайты (их было больше 200, в том числе и этот), а вот антивирусное ПО до сих пор не устанавливается
Как я понял, вирус удалил не до конца, также нашёл файлы регистра, которые блокировали работу защитника Windows и другого антивирусного ПО (к сожалению, не сохранились). Ещё нашел учётную запись удалённого доступа, которую тоже удалил. Ещё нашёл файл со своими... логинами, паролей там не было
Помогите, пожалуйста, удалить вирус до конца!

[Info_bot]

Уважаемый(ая) itsmaxx, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O4 - MSConfig\startupreg: Realtek HD Audio [command] = C:\ProgramData\RealtekHD\taskhostw.exe (HKLM) (2020/08/17) (file missing)

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows NT\atikpatcher 1.4.7.lnk"         -> ["C:\Users\4D88~1\AppData\Local\Temp\atikpatcher147.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[itsmaxx]

Строки пофиксил, с помощью ClearLNK полечил, отчёты ClearLNK и FRST прикрепляю

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Task: {6222D26D-4DFA-446F-9224-5B64DA0E6933} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
S2 AODDriver4.3.0; \??\C:\Program Files\AMD\Performance Profile Client\amd64\AODDriver2.sys [X]
2020-08-17 16:14 - 2020-08-17 16:30 - 000000000 ____D C:\Users\Макс\Doctor Web
2020-08-17 12:30 - 2020-08-17 16:31 - 000000000 __SHD C:\Program Files\RDP Wrapper
2020-08-17 12:30 - 2020-08-17 12:31 - 000000000 __SHD C:\rdp
2020-08-17 12:30 - 2020-08-17 12:30 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-08-17 12:30 - 2020-08-17 12:30 - 000000000 __SHD C:\Program Files\ESET
2020-08-17 12:30 - 2020-08-17 12:30 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-08-17 12:30 - 2020-08-17 12:30 - 000000000 __SHD C:\Program Files\Cezurity
2020-08-17 12:30 - 2020-08-17 12:30 - 000000000 __SHD C:\Program Files\AVG
2020-08-17 12:30 - 2020-08-17 12:30 - 000000000 __SHD C:\Program Files\AVAST Software
2020-08-17 12:30 - 2020-08-17 12:30 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-08-17 12:30 - 2020-08-17 12:30 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-08-17 12:30 - 2020-08-17 12:30 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2020-08-17 12:30 - 2020-08-17 12:30 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-08-17 12:30 - 2020-08-17 12:30 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-08-17 12:30 - 2020-08-17 12:30 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-08-17 12:29 - 2020-08-17 19:17 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
2020-08-17 12:29 - 2020-08-17 19:17 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-08-17 12:29 - 2020-08-17 13:59 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
2020-08-17 12:29 - 2020-08-17 13:59 - 000000000 __SHD C:\ProgramData\RunDLL
2020-08-17 12:29 - 2020-08-17 12:54 - 000000000 __SHD C:\Users\Все пользователи\Setup
2020-08-17 12:29 - 2020-08-17 12:54 - 000000000 __SHD C:\ProgramData\Setup
2020-08-17 12:29 - 2020-08-17 12:29 - 000000000 __SHD C:\Program Files\SpyHunter
2020-08-17 12:29 - 2020-08-17 12:29 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-08-17 12:29 - 2020-08-17 12:29 - 000000000 __SHD C:\Program Files\Enigma Software Group
2020-08-17 12:29 - 2020-08-17 12:29 - 000000000 __SHD C:\Program Files\COMODO
2020-08-17 12:29 - 2020-08-17 12:29 - 000000000 __SHD C:\Program Files\ByteFence
2020-08-17 12:29 - 2020-08-17 12:29 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2020-08-17 12:29 - 2020-08-17 12:29 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-08-17 12:29 - 2020-08-17 12:29 - 000000000 __SHD C:\Program Files (x86)\360
2020-08-17 12:29 - 2020-08-17 12:29 - 000000000 __SHD C:\KVRT_Data
2020-08-17 12:29 - 2020-08-17 12:29 - 000000000 __SHD C:\AdwCleaner
2020-08-17 12:29 - 2020-08-17 12:29 - 000000000 ____D C:\Windows\speechstracing
2020-05-08 17:52 - 2017-12-27 20:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
FirewallRules: [{3A8A99ED-2E20-44E0-8D7E-25BA6CCF690D}] => (Block) LPort=139
FirewallRules: [{7AFC038F-C266-46A8-923E-8D5585F13158}] => (Block) LPort=139
FirewallRules: [{857A7E0D-AC24-4175-BD5D-AD916B82BA19}] => (Block) LPort=445
FirewallRules: [{72DE9A0D-4BA7-4567-A30A-ED9537699423}] => (Block) LPort=445
FirewallRules: [{F53CD52D-5D53-4DBE-B80D-B75FD6366F03}] => (Allow) LPort=3389
FirewallRules: [{54236C5F-5283-4DB5-8CB7-7E8EFA520BEA}] => (Allow) LPort=3389
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[itsmaxx]

Действия выполнил, логи прикрепляю

[Vvvyg]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[itsmaxx]

Надеюсь, что я нашёл ту программу, которую нужно. FRST удалён, с помощью SecurityCheck просканировал, логи прикрепляю

[Vvvyg]

Контроль учётных записей пользователя отключен

Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.

В остальном порядок.

[itsmaxx]

Спасибо большое за помощь!