Решена майнер taskhost и ReaItek HD

[Normandec07]

А файл AV_block_remove_дата-время.log появился? Если да, тоже прикрепите его.


Да, нужно собрать CollectionLog Автологером в той системе.

Здесь продолжаем:

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:


2. Файл Check_Browser_Lnk.log
из папки
перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3. "Пофиксите" в HijackThis только следующие строки:

O4 - HKCU\..\Run: [Firefox Browser] = C:\Firefox\X-Firefox.exe (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Tasks: preserve-popular - C:\ProgramData\portuguese-protect\bin.exe /H (file missing)

Перезагрузите компьютер.

4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в это

прикрепляю отчет

AV_block_remove_дата-время.log

 

[Normandec07]

выполнил 3 пункт. пофиксил в HIjack. скачал Farbar Recovery Scan tool и прикрепляю его отчеты

А файл AV_block_remove_дата-время.log появился? Если да, тоже прикрепите его.


Да, нужно собрать CollectionLog Автологером в той системе.

Здесь продолжаем:

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:


2. Файл Check_Browser_Lnk.log
из папки
перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3. "Пофиксите" в HijackThis только следующие строки:

O4 - HKCU\..\Run: [Firefox Browser] = C:\Firefox\X-Firefox.exe (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Tasks: preserve-popular - C:\ProgramData\portuguese-protect\bin.exe /H (file missing)

Перезагрузите компьютер.

4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  IFEO\MilesMorales.exe: [VerifierDlls] vrfcore.dll vfcompat.dll
  IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
  IFEO\Spider-Man.exe: [VerifierDlls] vrfcore.dll vfcompat.dll
  IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {E74A37BE-8C60-4273-AB46-1966AF183F24} - System32\Tasks\Driver Booster SkipUAC (Виктория) => "E:\GMS\IObit\Driver Booster\DriverBooster.exe"  /skipuac (Нет файла)
  2023-12-19 17:37 - 2023-12-23 10:39 - 000000000 ____D C:\Users\Виктория\AppData\LocalLow\IObit
  2023-12-19 17:36 - 2023-12-23 10:39 - 000000000 ____D C:\ProgramData\IObit
  2023-12-19 17:36 - 2023-12-19 21:35 - 000000000 ____D C:\Users\Виктория\AppData\Roaming\IObit
  FCheck: C:\Windows\SysWOW64\version_IObitDel.dll [2023-12-19] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  FirewallRules: [{84B4E341-1266-4A41-BC51-46E9B894020C}] => (Allow) LPort=50248
  FirewallRules: [{D79A81F2-B41A-4305-BFA4-23DEA28779EE}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{1D95CA1E-CE62-49F6-86E1-7941E4BB544F}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{4BF0594B-93B0-47F9-BF53-717960DC5B90}] => (Allow) LPort=1688
  FirewallRules: [{B3EF05FD-3488-4315-8EE2-21BAC7E25C55}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
  FirewallRules: [{54B3688F-82BC-41E4-9394-3DBAC250589A}] => (Allow) C:\Users\Виктория\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
  FirewallRules: [{FCB77A26-FD75-4489-8141-1CB02853EB4F}] => (Allow) E:\Advanced SystemCare Ultimate\AutoUpdate.exe => Нет файла
  FirewallRules: [{EA1B9FBD-608A-425C-A017-46B706752D0A}] => (Allow) E:\Advanced SystemCare Ultimate\AutoUpdate.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Normandec07]

С

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  IFEO\MilesMorales.exe: [VerifierDlls] vrfcore.dll vfcompat.dll
  IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
  IFEO\Spider-Man.exe: [VerifierDlls] vrfcore.dll vfcompat.dll
  IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {E74A37BE-8C60-4273-AB46-1966AF183F24} - System32\Tasks\Driver Booster SkipUAC (Виктория) => "E:\GMS\IObit\Driver Booster\DriverBooster.exe"  /skipuac (Нет файла)
  2023-12-19 17:37 - 2023-12-23 10:39 - 000000000 ____D C:\Users\Виктория\AppData\LocalLow\IObit
  2023-12-19 17:36 - 2023-12-23 10:39 - 000000000 ____D C:\ProgramData\IObit
  2023-12-19 17:36 - 2023-12-19 21:35 - 000000000 ____D C:\Users\Виктория\AppData\Roaming\IObit
  FCheck: C:\Windows\SysWOW64\version_IObitDel.dll [2023-12-19] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  FirewallRules: [{84B4E341-1266-4A41-BC51-46E9B894020C}] => (Allow) LPort=50248
  FirewallRules: [{D79A81F2-B41A-4305-BFA4-23DEA28779EE}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{1D95CA1E-CE62-49F6-86E1-7941E4BB544F}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{4BF0594B-93B0-47F9-BF53-717960DC5B90}] => (Allow) LPort=1688
  FirewallRules: [{B3EF05FD-3488-4315-8EE2-21BAC7E25C55}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
  FirewallRules: [{54B3688F-82BC-41E4-9394-3DBAC250589A}] => (Allow) C:\Users\Виктория\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
  FirewallRules: [{FCB77A26-FD75-4489-8141-1CB02853EB4F}] => (Allow) E:\Advanced SystemCare Ultimate\AutoUpdate.exe => Нет файла
  FirewallRules: [{EA1B9FBD-608A-425C-A017-46B706752D0A}] => (Allow) E:\Advanced SystemCare Ultimate\AutoUpdate.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Сделал следующий шаг. Компьютер перерзагрузился и висит с чёрным экраном. Что сделать?

 

[Normandec07]

перезагрузил. прикрепляю Fixlog. не правильно сделал в первый раз. заменил файл

 

[Sandor]

Ещё один скрипт выполните в безопасном режиме

• Выделите следующий код:
  
  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[Normandec07]

Ещё один скрипт выполните в безопасном режиме

• Выделите следующий код:
  
  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматичес

выполнил в безопасном режиме.

 

[Sandor]

Вы не тот скрипт выполнили.

 

[Normandec07]

Вы не тот скрипт выполнили.

так, я скопировал текст из вашего последнего сообщения. создал в папке FRST блокнотом файл с этим текстом и назвал его Fixlist и нажал исправить. все это из безопасного режима с сетью.
что я сделал не так?

 

[regist]

Как минимум то, что вас вообще не просили создавать файл. Читайте внимательней.

 

[regist]

И не надо заниматься оверквотингом, это только затрудняет чтение темы.
Да и в правилах форума про это тоже написано.
А для быстрого ответа есть поле внизу.

 

[Normandec07]

надеюсь сейчас правильно сделал.

 

[Sandor]

Хорошо. Подведём итог - проблема решена?

 

[Normandec07]

проблема решена. я благодарю вас максимально. с 11 виндоус из програмдата тоже пропала эта зараза, но как понял надо проворачивать все равно все что вы мне говорили. мне в эту же тему писать или новую создать?
ps. чуть позднее окажу материальную помошь форуму, в знак благодарности к вам.

 

[regist]

с 11 виндоус из програмдата тоже пропала эта зараза, но как понял надо проворачивать все равно все что вы мне говорили. мне в эту же тему писать или новую создать?

Если это другая система, то новая тема.

 

[akok]

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.