Майнер, маскирующийся под аудио драйвер.

Недавно друг поймал майнер.
Лежал он в C:/ProgramData/.
Майнер маскируется под драйвера реалтек.
Заморозили его процессы через монитор ресурсов, удалили все принадлежащие ему экзешники(audiodg.exe, taskhostw.exe, taskhost.exe).
Проверили через cureit, удалили пользователя John, проверили комп через AVBR(вернулась возможность устанавливать антивирусники).
Осталось ли ещё что-то? Обратно процессы не вернулись, да и папок нет. Но я слышал, что он какие-то утилиты для удаленного доступа оставляет на ПК.