Решена Эффективное удаление вируса taskhostw.exe и восстановление файлов

[Schneider]

Добрый день!
С торрентом зацепил вирус taskhostw.exe. Система начала работать на максимуме, в диспетчере задач процесс "Com Surrogate" показывал самую высокую загрузку, но сразу после открытия диспетчера он сбрасывал активность и температура падала, в автозагрузке появился процесс taskhostw.exe. При попытке выявить расположение файла, быстро открывалась папка "C->ProgramData->ReaItekHD" и сразу закрывалась. Папки по факту не было по этому пути. Стал закрываться браузер, не открывался на сайтах по поиску решения проблемы, диспетчер задач сам закрывался. Появился новый профиль "John". Удалились все точки восстановления и сама утилита восстановления выдавала ошибку.
Установил программу UnHackMe, она выявила этот вирус и еще несколько, удалил через нее. После активность вируса исчезла, температура не растет, процесс в диспетчере не появляется. Затем через загрузочную флешку сделал исправление ошибок Windows, появилась возможность делать точки восстановления.
Но все равно, такое ощущение, что какие-то хвосты остались, так как периодически, в простое, рядом с курсором мышки появляется кружок загрузки, не удалилась папка John, после перезагрузки/выключения системы, в диспетчере задач время работы не обнуляется, а показывает время работы и до выключения, будто система работала и когда была выключена.
Прошу оказать помощь в окончательном удалении вируса и его хвостов, с возможностью восстановить битые файлы.

 

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Schneider]

Отчеты:

 

[regist]

1) В hosts записи сами добавляли?

[ProxyOverride] = bssplugin.bssys.com

это ваше?

В доверенных сайтах у вас 274 записи, все они там нужны?

2) Удалите

UnHackMe Giveaway 14.20 [20221021]-->"C:\Program Files (x86)\UnHackMe\unins000.exe"

3) Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.


4) Соберите свежие логи по правилам.

 

[Schneider]

1) Это было в hosts? Если это не в hosts и относится к программе КриптоПро, то да, она у меня установлена, вместе с плагином в браузер.

[ProxyOverride] = bssplugin.bssys.com

Hosts я сам не заполнял, это скорее всего сделал UnHackMe, хотя я специально ставил отказ от этого действия при установке.

2) UnHackMe удалил

3) Повторные логи прикрепил

 

[Sandor]

Дополнительно, пожалуйста:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Schneider]

1) Подскажите, что показали прошлые логи, были ли еще остатки заразы после удаления их с помощью UnHackMe? Были ли следы RMS, надо ли бежать менять пароли?

2) Как очистить список доверенных сайтов, 274 записи, которые прописал UnHackMe?

3) Отчеты FRST.txt и Addition.txt добавил

 

[Sandor]

274 записи, которые прописал UnHackMe?

Нет, вот эти:

Спойлер: Доверенные сайты

O15 - Trusted Zone: *.nalog.ru
O15 - Trusted Zone: http://*.roseltog.ru
O15 - Trusted Zone: http://*.sberbank-ast.ru
O15 - Trusted Zone: [URL="http://223.gz-spb.ru"]АИС ГЗ[/URL]
O15 - Trusted Zone: [URL]http://223.zakazrf.ru[/URL]
O15 - Trusted Zone: [URL]http://223etp.zakazrf.ru[/URL]
O15 - Trusted Zone: [URL]http://agc.lotexpert.ru[/URL]
O15 - Trusted Zone: [URL]http://ams.lotexpert.ru[/URL]
O15 - Trusted Zone: [URL]http://auction.sibtender.com[/URL]
O15 - Trusted Zone: [URL]http://auction63.ru[/URL]
O15 - Trusted Zone: [URL]http://bankrupt.etpu.ru[/URL]
O15 - Trusted Zone: [URL]http://bankruptcy.kommersant.ru[/URL]
O15 - Trusted Zone: [URL]http://bankruptcy.lot-online.ru[/URL]
O15 - Trusted Zone: [URL]http://bankruptcy.selt-online.ru[/URL]
O15 - Trusted Zone: [URL]http://bashzakaz.ru[/URL]
O15 - Trusted Zone: [URL]http://best-etp.ru[/URL]
O15 - Trusted Zone: [URL]http://budget.mosreg.ru[/URL]
O15 - Trusted Zone: [URL]http://cfb.ru[/URL]
O15 - Trusted Zone: [URL]http://ea.omskzakaz.ru[/URL]
O15 - Trusted Zone: [URL]http://eais.rkn.gov.ru[/URL]

... и другие

По п.1 - позже.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [WindowsDefender] => "%ProgramFiles%\Windows Defender\MSASCuiL.exe" (Нет файла)
  
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {2e62749f-fcca-11e5-82a5-54a050391cc2} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {2e627509-fcca-11e5-82a5-54a050391cc2} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {439aaebf-de23-11e6-82d3-54a050391cc2} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {99236b19-c694-11e6-82d2-54a050391cc2} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {9e1b3693-6084-11e9-83af-54271e764008} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {9e1b36db-6084-11e9-83af-54271e764008} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {b78db9b8-6887-11e6-82bb-54a050391cc2} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {bb8edf99-608b-11e9-83b0-54271e764008} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {bb8ee010-608b-11e9-83b0-54271e764008} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {bb8ee074-608b-11e9-83b0-54271e764008} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {bf024815-49ae-11e6-82b7-54a050391cc2} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {ea605cd5-5139-11e6-82b8-54a050391cc2} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {ea606569-5139-11e6-82b8-54a050391cc2} - "E:\AutoRun.exe" 
  HKU\S-1-5-21-3075568041-2197754965-1077262244-1001\...\MountPoints2: {ea6065b3-5139-11e6-82b8-54a050391cc2} - "E:\AutoRun.exe" 
  Task: {9764D4F4-92CF-47FC-A529-45AE2FD5D1B6} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2250576 2022-05-24] (Avast Software s.r.o. -> Avast Software)
  U1 aswbdisk; отсутствует ImagePath
  AlternateDataStreams: C:\Users\Kaitis\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [362]
  AlternateDataStreams: C:\Users\Kaitis\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [362]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Schneider]

Нет, этот список сайтов я не прописывал. Как его удалить?

Спойлер: Доверенные сайты

O15 - Trusted Zone: *.nalog.ru
O15 - Trusted Zone: http://*.roseltog.ru
O15 - Trusted Zone: http://*.sberbank-ast.ru
O15 - Trusted Zone: АИС ГЗ
O15 - Trusted Zone: http://223.zakazrf.ru
O15 - Trusted Zone: http://223etp.zakazrf.ru
O15 - Trusted Zone: http://agc.lotexpert.ru
O15 - Trusted Zone: http://ams.lotexpert.ru
O15 - Trusted Zone: http://auction.sibtender.com
O15 - Trusted Zone: http://auction63.ru
O15 - Trusted Zone: http://bankrupt.etpu.ru
O15 - Trusted Zone: http://bankruptcy.kommersant.ru
O15 - Trusted Zone: http://bankruptcy.lot-online.ru
O15 - Trusted Zone: http://bankruptcy.selt-online.ru
O15 - Trusted Zone: http://bashzakaz.ru
O15 - Trusted Zone: http://best-etp.ru
O15 - Trusted Zone: http://budget.mosreg.ru
O15 - Trusted Zone: http://cfb.ru
O15 - Trusted Zone: http://ea.omskzakaz.ru
O15 - Trusted Zone: http://eais.rkn.gov.ru
... и другие

Лог-файл прикрепил

 

[Schneider]

Нет, этот список сайтов я не прописывал. Как его удалить?

Спойлер: Доверенные сайты

O15 - Trusted Zone: *.nalog.ru
O15 - Trusted Zone: http://*.roseltog.ru
O15 - Trusted Zone: http://*.sberbank-ast.ru
O15 - Trusted Zone: АИС ГЗ
O15 - Trusted Zone: http://223.zakazrf.ru
O15 - Trusted Zone: http://223etp.zakazrf.ru
O15 - Trusted Zone: http://agc.lotexpert.ru
O15 - Trusted Zone: http://ams.lotexpert.ru
O15 - Trusted Zone: http://auction.sibtender.com
O15 - Trusted Zone: http://auction63.ru
O15 - Trusted Zone: http://bankrupt.etpu.ru
O15 - Trusted Zone: http://bankruptcy.kommersant.ru
O15 - Trusted Zone: http://bankruptcy.lot-online.ru
O15 - Trusted Zone: http://bankruptcy.selt-online.ru
O15 - Trusted Zone: http://bashzakaz.ru
O15 - Trusted Zone: http://best-etp.ru
O15 - Trusted Zone: http://budget.mosreg.ru
O15 - Trusted Zone: http://cfb.ru
O15 - Trusted Zone: http://ea.omskzakaz.ru
O15 - Trusted Zone: http://eais.rkn.gov.ru
... и другие

Попробовал удалить через свойства интернета в браузере, но там их гораздо меньше, чем 274, и после удаления они снова появляются

 

[Sandor]

Попробовал удалить через свойства интернета в браузере

Здесь?

 

[Schneider]

Здесь?
Посмотреть вложение 64043

Да, в этом окне удаляю сайты, но после повторного открытия они там появляются снова

 

[Sandor]

Скачайте Malwarebytes v.4 или с зеркала. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[Schneider]

Отчет

 

[Sandor]

Помеченные как HackTool.FilePatch и HackTool.Patcher можете оставить (на свой страх и риск), остальное удалите, поместите в карантин.
После этого перезагрузите компьютер и повторите лог сканирования Malwarebytes.

 

[Schneider]

Отчет

 

[Sandor]

Ещё раз пробуйте очистить список доверенных сайтов.

 

[Schneider]

Ещё раз пробуйте очистить список доверенных сайтов.

Ситуация не изменилась, после удаления и повторного открытия окна, сайты появляются снова. Причем их не 274, а около 60.

 

[regist]

Ситуация не изменилась, после удаления и повторного открытия окна, сайты появляются снова. Причем их не 274, а около 60.

Попробуйте через HiJackThis пофиксить в секции:
O15 - Trusted Zone:

но я думаю они восстанавливается чем-то из вашего софта (там в списке банковские сайты, гос. услуги и т.д.), так что если не получится и так, то оставьте их.

 

[Schneider]

Попробуйте через HiJackThis пофиксить в секции:
O15 - Trusted Zone:

но я думаю они восстанавливается чем-то из вашего софта (там в списке банковские сайты, гос. услуги и т.д.), так что если не получится и так, то оставьте их.

Это помогло, спасибо.
После первого прогона осталось несколько сайтов, а уже после второго пофиксил все сайты.


Подскажите, что показали прошлые логи, были ли еще остатки заразы после удаления их с помощью UnHackMe? Были ли следы RMS, надо ли бежать менять пароли?