Майнер (или троян)

[O_o]

Здравствуйте, на ноутбуке появился майнер (или троян), который значительно повышает расход батареи и периодически самопроизвольно производит перезагрузку устройства.
Иногда можно обнаружить его в диспетчере задач замаскированным под WMI Provider Host. Антивирусные программы типа Malwarebytes открыть не дает (хотя HitmanPro запустить удавалось, но чистка им результатов не принесла), при попытках открыть сайты с антивирусной тематикой (например, этот форум) закрывает браузер.
Несколько месяцев назад сканирование встроенным антивирусом Windows Defender подтверждало наличие вируса, однако сейчас любой скан (быстрый, полный и с помощью Defender Offline) утверждает, что все чисто. Тем не менее вышеописанные симптомы имеют место быть.
Помогите, пожалуйста, решить проблему. Заранее спасибо.

[Info_bot]

Уважаемый(ая) O_o, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

[O_o]

Прикрепляю логи.

[Sandor]

Хорошо, в целом уже должно полегчать.

"Пофиксите" в HijackThis:

Код:

O4 - HKLM\..\Run: [RealtekUA Audio] = C:\ProgramData\RealtekUA\taskhostw.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[O_o]

Прошу прощения, строка O7 у меня выглядит несколько иначе. В таком случае ее выбирать?

[Sandor]

Нет, O7 не отмечайте, только O4
Продолжайте.

[O_o]

Прикрепляю отчеты.

[Sandor]

Тут порядок, за исключением того, что на системном диске почти нет свободного места:

Drive c: (Windows) (Fixed) (Total:120 GB) (Free:2.77 GB)

Должно быть не менее 20% от общего его объема.

Проблема решена?

[O_o]

Спасибо Вам большое! Судя по всему, проблема решена.
Что-то нужно дополнительно сделать после лечения компьютера?

[Sandor]

Да, завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[O_o]

Прикрепляю файл.

[Sandor]

Исправьте по возможности:
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.20.10.22.14 Warning! Download Update
Git v.2.33.0.2 Warning! Download Update
Oracle VM VirtualBox 5.2.44 v.5.2.44 Warning! Download Update
Wireshark 4.0.1 64-bit v.4.0.1 Warning! Download Update
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-bit) v.6.02.0 Warning! Download Update
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.3.10 Warning! Download Update
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Warning! Download Update
Microsoft Teams v.1.5.00.14473 Warning! Download Update
Zoom v.5.12.2 (9281) Warning! Download Update
Skype version 8.85 v.8.85 Warning! Download Update
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46672 Warning! Ad-supported P2P-client.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.17.4 Warning! Download Update
------------------------------- [ Browser ] -------------------------------
Yandex.Telemost v.1.0.45.1303 Warning! Download Update
Yandex (All Users) v.23.5.2.625 Warning! Download Update
---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer version 9.01 v.9.01 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.


Читайте Советы и рекомендации после лечения компьютера.