Здравствуйте, форумчане, пришёл обратиться за помощью: поймал вирус (подозрение на майнер) tashostw.exe якобы от RealtekHD Audio. Загружает проц на 100%, закрывает менеджер задач, антивирусы, в т.ч. KVRT, AV Block Remover, запустился только бесполезный TDSSKiller, который ничего не нашёл. Ручному удалению вирус тоже не поддался. Автологгер запустился только после того, как я "пофиксил" в HiJackThis следующие строки:
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task: \Microsoft\Windows\Wininet\RealtekMO - C:\Programdata\RealtekHD\taskhost.exe
O22 - Task: \Microsoft\Windows\Wininet\RealtekOnLogon - C:\Programdata\RealtekHD\taskhost.exe
O22 - Task: \Microsoft\Windows\Wininet\TaskhostMO - C:\Programdata\RealtekHD\taskhostw.exe
O22 - Task: \Microsoft\Windows\Wininet\TaskhostOnlogon - C:\Programdata\RealtekHD\taskhostw.exe
После этого смог собрать логи и даже KVRT запустился, выдал следующую картину:
Хочу спросить, что делать дальше и оставлять ли объекты miner.gen, обнаруженные KVRT?
P.S. нагрузка на железо и остальные поверхностные "симптомы" ушли.
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task: \Microsoft\Windows\Wininet\RealtekMO - C:\Programdata\RealtekHD\taskhost.exe
O22 - Task: \Microsoft\Windows\Wininet\RealtekOnLogon - C:\Programdata\RealtekHD\taskhost.exe
O22 - Task: \Microsoft\Windows\Wininet\TaskhostMO - C:\Programdata\RealtekHD\taskhostw.exe
O22 - Task: \Microsoft\Windows\Wininet\TaskhostOnlogon - C:\Programdata\RealtekHD\taskhostw.exe
После этого смог собрать логи и даже KVRT запустился, выдал следующую картину:
Хочу спросить, что делать дальше и оставлять ли объекты miner.gen, обнаруженные KVRT?
P.S. нагрузка на железо и остальные поверхностные "симптомы" ушли.