В работе майнер с taskhostw.exe

[jtb]

Как победить этот злостный майнер если я достаточно зеленый в этой теме.
Посмотрел данное видео

и все сделал несколько раз, но из монитора ресурсов он так и не пропал.
Все делал по инструкции.
Заволновался на моменте когда ПК сам включился ночью из режима гибернации.
Из такого отрицательного, качал FH5 с Rutorg'а, и разрешил в безопаснике Windows какую то штуку...
На Win10 делал так же и никаких жалоб не было.

 

[akok]

Видео не грузится, чем лечили?

 

[akok]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Tasks: \Microsoft\Windows\CreedMobeL\RecoveryHosts - C:\ProgramData\Microsoft\MapData\aazHw3QFo\CreedMobeL.bat (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала

 

[jtb]

Перестал работать Яндекс браузер, сначала удалился, после переустановки в безопасном режиме говорит о краше. Сейчас заработал

Это с открым Диспетчером задач

 

[Sandor]

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[jtb]

.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  S3 HWiNFO_187; C:\Users\jtb\AppData\Local\Temp\HWiNFO64A_187.SYS [56912 2025-12-11] (Microsoft Windows Hardware Compatibility Publisher -> REALiX(tm)) <==== ВНИМАНИЕ
  2025-12-11 17:14 - 2025-12-11 17:14 - 000000000 ___SH C:\ProgramData\temp.txt
  2025-12-11 02:19 - 2025-12-11 02:19 - 000000000 ___SH C:\ProgramData\tg.txt
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  FirewallRules: [{FA90B795-A86E-4460-AD38-D2BC790478AF}] => (Allow) LPort=9009
  FirewallRules: [{5B9AFBA6-B375-4D96-947A-652B02DFCF8B}] => (Allow) LPort=9009
  FirewallRules: [{CBD593FD-89C0-416E-B6E5-DCC2723B6D2B}] => (Allow) LPort=9009
  FirewallRules: [{1992BACF-724A-42A6-B722-D1BC3067CBF7}] => (Allow) C:\Users\jtb\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{8660F05E-D44A-4B7F-B43F-F6970EBAC927}] => (Allow) C:\Users\jtb\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{0624D9B7-FEAE-4297-955E-ADFA6E6A13F2}] => (Allow) LPort=9009
  FirewallRules: [{18255F30-AC79-4A3E-A0AD-0F8EF61D5895}] => (Allow) LPort=9009
  FirewallRules: [{DADC1C8E-EB24-4AF5-8528-35C01AE10BDE}] => (Allow) LPort=9009
  FirewallRules: [{F3354643-8348-4274-8CA0-DE0562250AAE}] => (Allow) LPort=9009
  FirewallRules: [{6B42126F-695D-4C19-983C-C645A2A128A5}] => (Allow) LPort=9009
  FirewallRules: [{7E33C679-D45E-47C5-A2CE-E9C941970F91}] => (Allow) LPort=9009
  FirewallRules: [{4FF0889E-45B1-4136-AFCC-8947B323B915}] => (Allow) LPort=9009
  FirewallRules: [{65782A67-397B-42C3-9155-538D98615045}] => (Allow) LPort=9009
  FirewallRules: [{4B9212EA-099D-441F-9364-73FC91023AB6}] => (Allow) LPort=9009
  FirewallRules: [{78BBA2D4-3677-49C2-B012-6C8212DDA829}] => (Allow) LPort=9009
  FirewallRules: [{2ECD93E9-35CF-434D-B5BD-9444EB0A981C}] => (Allow) LPort=9009
  FirewallRules: [{066E0066-D99F-42FA-BD54-CFED8E6CFEA8}] => (Allow) LPort=9009
  FirewallRules: [{3594EFAC-EB78-4C55-A229-C39605D70F9B}] => (Allow) LPort=9009
  FirewallRules: [{AE4A9A81-66B8-4A71-BA37-11A7A9D40F35}] => (Allow) LPort=9009
  FirewallRules: [{04F2BCF2-FD67-499B-A127-4B364ACF35B7}] => (Allow) LPort=9009
  FirewallRules: [{BF76B8DC-F7FB-4418-A141-1628FCB78AE5}] => (Allow) LPort=9009
  FirewallRules: [{9051CB7A-3306-4788-ACFE-D656205483F9}] => (Allow) LPort=9009
  FirewallRules: [{92785E3F-4571-4B5B-95C4-294E9A25CB19}] => (Allow) LPort=9009
  FirewallRules: [{2E4171A6-45C8-42ED-A701-E1F9F9036D18}] => (Allow) LPort=9009
  FirewallRules: [{6DA743B0-D414-4B6A-956D-AE6CB09E0587}] => (Allow) LPort=9009
  FirewallRules: [{12B13556-24CA-478D-83EF-A13FA8CE14FD}] => (Allow) LPort=9009
  FirewallRules: [{3C4D5676-B512-4DFF-BDE6-7B7FCB299AAD}] => (Allow) LPort=9009
  FirewallRules: [{A3526169-95B0-4668-98FC-3EDAC826ED66}] => (Allow) LPort=9009
  FirewallRules: [{38DAE517-4B4F-4834-B17E-CCB55D5CC841}] => (Allow) LPort=9009
  FirewallRules: [{1C5399F2-32E9-4A93-9D79-94A619602066}] => (Allow) LPort=9009
  FirewallRules: [{E537B07E-2FE4-43BC-80B9-2F407F2FF1C5}] => (Allow) LPort=9009
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

На системном диске катастрофически мало свободного места:

(Total:64.27 GB) (Free:5.39 GB)

 

[jtb]

Сделано

на данный момент

 

[Sandor]

Хорошо. Вручную удалите исключения Защитника.

Завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.