Майнер! Microsofthost.exe

**Aleksandr787** · 25.05.2020, 12:30

Здравствуйте, подцепил майнер microsofthost.exe. помогите, пожалуйста, удалить. Так же блокирует доступ с пк к вашему сайту. Пишу с телефона

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.05.2020, 12:31

Уважаемый(ая) Aleksandr787, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Aleksandr787** · 25.05.2020, 14:29

Avz запускается и сразу пропадает. Не могу сделать проверку. Запускаю от имени администратора. Антивирус выключен

- - - - -Добавлено - - - - -

При запуске диспетчера задач процесс microsofthost.exe сразу завершается

- - - - -Добавлено - - - - -

Логи

**Vvvyg** · 25.05.2020, 14:55

В безопасном режиме логи сделайте.

**Aleksandr787** · 25.05.2020, 15:13

Вот логи в безопасном режиме

**Vvvyg** · 25.05.2020, 15:38

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
 QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
 DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
 DeleteFileMask('c:\program files\rdp wrapper', '*', true);
 DeleteFileMask('c:\programdata\realtekhd', '*', true);
 DeleteDirectory('c:\program files\rdp wrapper');
 DeleteDirectory('c:\programdata\realtekhd');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\SystemC');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Aleksandr787** · 25.05.2020, 19:29

Все сделал

**Vvvyg** · 25.05.2020, 22:07

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
S3 TermService; %ProgramFiles%\RDP Wrapper\rdpwrap.dll [X] <==== ATTENTION (no ServiceDLL)
S4 asComSvc; "C:\Program Files (x86)\ASUS\AXSP\4.00.38\atkexComSvc.exe" [X]
S4 EasyAntiCheat; "C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe" [X]
S1 EneTechIo; \??\C:\WINDOWS\system32\drivers\ene.sys [X]
2020-05-24 10:53 - 2020-05-24 10:53 - 000000000 __SHD C:\rdp
2020-05-25 14:35 - 2020-03-03 12:23 - 000000000 __SHD C:\ProgramData\WindowsTask
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
FirewallRules: [{3EFB67B4-BA86-4FA4-8488-99DA3D83824B}] => (Block) LPort=139
FirewallRules: [{F9A2F055-D83E-4429-B6CC-5C2C7B9C84E1}] => (Block) LPort=139
FirewallRules: [{29E98091-347F-4D31-A97E-6828D9745FF6}] => (Block) LPort=445
FirewallRules: [{1033F97B-A82D-42DC-9D23-714970673FEB}] => (Block) LPort=445
FirewallRules: [UDP Query User{4292D010-326D-4E6F-8587-1110CD94D76C}D:\games\maniaplanet\maniaplanet.exe] => (Block) D:\games\maniaplanet\maniaplanet.exe => No File
FirewallRules: [TCP Query User{2972CB49-BD10-41EA-9EB9-839E919C75C5}D:\games\maniaplanet\maniaplanet.exe] => (Block) D:\games\maniaplanet\maniaplanet.exe => No File
FirewallRules: [UDP Query User{E36678A5-519F-4CAA-859A-39EF4A2B5F13}C:\games\world_of_tanks\win32\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\win32\worldoftanks.exe => No File
FirewallRules: [TCP Query User{E62A0B09-628E-4580-80D5-65AC0A0991D9}C:\games\world_of_tanks\win32\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\win32\worldoftanks.exe => No File
FirewallRules: [UDP Query User{FC1516CB-F99E-42C4-AD23-0412B187E849}D:\games\world_of_tanks_eu\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_eu\worldoftanks.exe => No File
FirewallRules: [TCP Query User{CABB5DEC-D636-44AF-93A9-B501356B95C3}D:\games\world_of_tanks_eu\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_eu\worldoftanks.exe => No File
FirewallRules: [{0D5B71D8-BF59-441C-9E84-6F6C822318B8}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => No File
FirewallRules: [{5E9EA280-5DEF-43E3-99CB-A8226B0BE14C}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => No File
FirewallRules: [{A3B47416-2A12-4054-90B2-ACDBBE9C4CF4}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => No File
FirewallRules: [{CA7933A6-96CA-4F70-B9C0-9FB6BFD41763}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => No File
FirewallRules: [UDP Query User{4D1202B1-B627-4B79-8906-B0BE9FBBEC1F}D:\r.g. catalyst\portal 2\portal2.exe] => (Allow) D:\r.g. catalyst\portal 2\portal2.exe => No File
FirewallRules: [TCP Query User{C9D110DA-E399-46DA-98DE-5F4FBBEC7EF8}D:\r.g. catalyst\portal 2\portal2.exe] => (Allow) D:\r.g. catalyst\portal 2\portal2.exe => No File
FirewallRules: [UDP Query User{03E53F88-7104-46B0-9B87-73C13CC4A86B}C:\program files\any send\any send.exe] => (Allow) C:\program files\any send\any send.exe => No File
FirewallRules: [TCP Query User{20A38479-2A41-40A2-8E1D-264B8F4A9715}C:\program files\any send\any send.exe] => (Allow) C:\program files\any send\any send.exe => No File
FirewallRules: [UDP Query User{B17049C9-F9E7-4D68-A1BB-6DB7A80EB7C0}D:\games\left 4 dead 2\left4dead2.exe] => (Allow) D:\games\left 4 dead 2\left4dead2.exe => No File
FirewallRules: [TCP Query User{E651C2BA-500A-4C46-9EEC-4E54F0B4BAFC}D:\games\left 4 dead 2\left4dead2.exe] => (Allow) D:\games\left 4 dead 2\left4dead2.exe => No File
FirewallRules: [UDP Query User{92C4855A-C3A8-4064-8751-E325FDF4809D}D:\games\left4dead2 fatal return\resources\left4dead2.exe] => (Allow) D:\games\left4dead2 fatal return\resources\left4dead2.exe => No File
FirewallRules: [TCP Query User{04B9B4CD-5673-4DA4-8A03-248FCC814341}D:\games\left4dead2 fatal return\resources\left4dead2.exe] => (Allow) D:\games\left4dead2 fatal return\resources\left4dead2.exe => No File
FirewallRules: [UDP Query User{B87F0328-4599-4C5B-BDF8-1A92DF140852}D:\games\grand theft auto v\gta5.exe] => (Allow) D:\games\grand theft auto v\gta5.exe => No File
FirewallRules: [TCP Query User{E4BBA5F1-2D96-4877-B388-1DAC6480CC64}D:\games\grand theft auto v\gta5.exe] => (Allow) D:\games\grand theft auto v\gta5.exe => No File
FirewallRules: [UDP Query User{6C5564A1-AFB2-446D-8B38-55AC40DAEE87}D:\games\mortal kombat xl\binaries\retail\mk10.exe] => (Allow) D:\games\mortal kombat xl\binaries\retail\mk10.exe => No File
FirewallRules: [TCP Query User{BB1CC394-60F5-41F0-B24E-4F0903B7A472}D:\games\mortal kombat xl\binaries\retail\mk10.exe] => (Allow) D:\games\mortal kombat xl\binaries\retail\mk10.exe => No File
FirewallRules: [UDP Query User{447DFE96-0EDB-44BD-8A96-A36654C90F02}C:\games\world_of_tanks\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\worldoftanks.exe => No File
FirewallRules: [TCP Query User{9C48657B-7FE4-40FB-9F0F-6CE4A3A13D70}C:\games\world_of_tanks\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\worldoftanks.exe => No File
FirewallRules: [TCP Query User{8EE19405-BB36-4048-8E95-1593B1EE531D}D:6\games\world war z\en_us\client\bin\pc\wwzretailegs.exe] => (Allow) D:6\games\world war z\en_us\client\bin\pc\wwzretailegs.exe => No File
FirewallRules: [UDP Query User{CE82219F-F180-421B-A60B-3A19D71911D8}D:6\games\world war z\en_us\client\bin\pc\wwzretailegs.exe] => (Allow) D:6\games\world war z\en_us\client\bin\pc\wwzretailegs.exe => No File
FirewallRules: [TCP Query User{19E661C0-A20F-4305-A9E1-5C8AA0524A81}D:\games\world_of_tanks_eu\win32\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_eu\win32\worldoftanks.exe => No File
FirewallRules: [UDP Query User{D95F7D2D-EB0D-464C-BFA9-BDFB25C3395F}D:\games\world_of_tanks_eu\win32\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_eu\win32\worldoftanks.exe => No File
FirewallRules: [TCP Query User{4846BD23-DED5-4CBE-BD02-84E98E00C9A1}C:\games\unravel two\unraveltwo.exe] => (Allow) C:\games\unravel two\unraveltwo.exe => No File
FirewallRules: [UDP Query User{5DA7A1F1-141A-4116-804F-132B2537774E}C:\games\unravel two\unraveltwo.exe] => (Allow) C:\games\unravel two\unraveltwo.exe => No File
FirewallRules: [TCP Query User{5DB88DDA-D759-44D7-9AAF-C5DA13A68A7E}D:0\games\life is strange 2 episode 1-2\lis2\binaries\win64\lis2-win64-shipping.exe] => (Allow) D:0\games\life is strange 2 episode 1-2\lis2\binaries\win64\lis2-win64-shipping.exe => No File
FirewallRules: [UDP Query User{479E8387-1159-4183-865C-1148C090D75E}D:0\games\life is strange 2 episode 1-2\lis2\binaries\win64\lis2-win64-shipping.exe] => (Allow) D:0\games\life is strange 2 episode 1-2\lis2\binaries\win64\lis2-win64-shipping.exe => No File
FirewallRules: [{89B26C53-EA79-4398-9A60-D09195E4D632}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File
FirewallRules: [{CE2B2021-9300-496E-ACE9-77B44AD42AD2}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File
FirewallRules: [TCP Query User{159F1911-406E-4B12-9850-65632D640893}C:\games\world_of_tanks\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\win64\worldoftanks.exe => No File
FirewallRules: [UDP Query User{B9470EF9-ACAC-4627-863E-9CD20FEE4B94}C:\games\world_of_tanks\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\win64\worldoftanks.exe => No File
FirewallRules: [{7D40A45A-B830-4A30-9C8A-05A4680EE43F}] => (Allow) C:\Games\WGCheck RU\WGCheck.exe => No File
FirewallRules: [{8B1971F8-3A70-4FC0-93EA-C09C59FFDCB7}] => (Allow) C:\Games\WGCheck RU\WGCheck.exe => No File
FirewallRules: [TCP Query User{FDFF8F67-D3FC-4AF8-9464-7D2FFC01A20D}D:0\games\quantum break\dx11\quantumbreak.exe] => (Allow) D:0\games\quantum break\dx11\quantumbreak.exe => No File
FirewallRules: [UDP Query User{1E6AD6BF-BC31-4DFC-95CF-6CCC10EEFC19}D:0\games\quantum break\dx11\quantumbreak.exe] => (Allow) D:0\games\quantum break\dx11\quantumbreak.exe => No File
FirewallRules: [{30B6DA9E-261E-438E-AFBD-F850988B7653}] => (Block) LPort=445
FirewallRules: [{80A9F492-9206-4FD6-8484-4FA72F84A81D}] => (Block) LPort=445
FirewallRules: [{760FE440-E30F-459C-A18C-680DBF5FB85F}] => (Block) LPort=139
FirewallRules: [{4FB318C5-49FB-4B72-9EA7-FF761566389F}] => (Block) LPort=139
FirewallRules: [{62D54D43-8D01-43E9-A91B-E3CC1C4EB012}] => (Allow) LPort=3389
FirewallRules: [{ACB58CC6-2B14-4E61-8C90-4C5954C54ACE}] => (Allow) LPort=3389
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**Aleksandr787** · 26.05.2020, 00:02

Если просто скопировать текст в буфер, то при нажатии кнопки fix ничего не происходит. Программа предложила создать файл fixlist.txt. Создал и вставил туда текст. файл fixlog создался, но пк не перезагрузился. сейчас перезагружу сам и включу интернет - проверю результат.

- - - - -Добавлено - - - - -

Пока все нормально, большое спасибо)

- - - - -Добавлено - - - - -

Единственное, что напрягает, так это папка crypto по пути C:\ProgramData\Microsoft. при попытке удалить ее с помощью revo uninstaller - находит какие-то базы журналов и при перезагрузке все равно появляется снова. она как-то связана с данным вирусом или на нее можно забить? так же при перезагрузке (уже при загрузке рабочего стола) возникает трехкратный сигнал, как при залипании клавиш..

**Vvvyg** · 26.05.2020, 07:35

Не трогайте эту папку, там системные ключи шифрования.

Фикс не сработал, возможно потому, что не полностью текст копировали. Попробуйте ещё раз. Не сработает - положите файл фикса рядом с программой (на рабочий стол) и ещё раз.
fixlist.txt

**Aleksandr787** · 26.05.2020, 09:42

Все получилось, спасибо)

**Vvvyg** · 26.05.2020, 09:59

Всё на этом.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

**Aleksandr787** · 26.05.2020, 13:23

Хорошо, сделаю. Спасибо)

Майнер! Microsofthost.exe (заявка № 225080)

Опции темы