Решена майнер с taskhostw.exe

Переводчик Google
J

jtb

Новый пользователь
Сообщения
6
Реакции
0
Как победить этот злостный майнер если я достаточно зеленый в этой теме.
Посмотрел данное видео
и все сделал несколько раз, но из монитора ресурсов он так и не пропал.
Все делал по инструкции.
Заволновался на моменте когда ПК сам включился ночью из режима гибернации.
Из такого отрицательного, качал FH5 с Rutorg'а, и разрешил в безопаснике Windows какую то штуку...
На Win10 делал так же и никаких жалоб не было.
 

Вложения

Видео не грузится, чем лечили?
 
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O22 - Tasks: \Microsoft\Windows\CreedMobeL\RecoveryHosts - C:\ProgramData\Microsoft\MapData\aazHw3QFo\CreedMobeL.bat (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала
 
Перестал работать Яндекс браузер, сначала удалился, после переустановки в безопасном режиме говорит о краше. Сейчас заработал

Это с открым Диспетчером задач
 

Вложения

Последнее редактирование:
Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
S3 HWiNFO_187; C:\Users\jtb\AppData\Local\Temp\HWiNFO64A_187.SYS [56912 2025-12-11] (Microsoft Windows Hardware Compatibility Publisher -> REALiX(tm)) <==== ВНИМАНИЕ
2025-12-11 17:14 - 2025-12-11 17:14 - 000000000 ___SH C:\ProgramData\temp.txt
2025-12-11 02:19 - 2025-12-11 02:19 - 000000000 ___SH C:\ProgramData\tg.txt
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
FirewallRules: [{FA90B795-A86E-4460-AD38-D2BC790478AF}] => (Allow) LPort=9009
FirewallRules: [{5B9AFBA6-B375-4D96-947A-652B02DFCF8B}] => (Allow) LPort=9009
FirewallRules: [{CBD593FD-89C0-416E-B6E5-DCC2723B6D2B}] => (Allow) LPort=9009
FirewallRules: [{1992BACF-724A-42A6-B722-D1BC3067CBF7}] => (Allow) C:\Users\jtb\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{8660F05E-D44A-4B7F-B43F-F6970EBAC927}] => (Allow) C:\Users\jtb\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{0624D9B7-FEAE-4297-955E-ADFA6E6A13F2}] => (Allow) LPort=9009
FirewallRules: [{18255F30-AC79-4A3E-A0AD-0F8EF61D5895}] => (Allow) LPort=9009
FirewallRules: [{DADC1C8E-EB24-4AF5-8528-35C01AE10BDE}] => (Allow) LPort=9009
FirewallRules: [{F3354643-8348-4274-8CA0-DE0562250AAE}] => (Allow) LPort=9009
FirewallRules: [{6B42126F-695D-4C19-983C-C645A2A128A5}] => (Allow) LPort=9009
FirewallRules: [{7E33C679-D45E-47C5-A2CE-E9C941970F91}] => (Allow) LPort=9009
FirewallRules: [{4FF0889E-45B1-4136-AFCC-8947B323B915}] => (Allow) LPort=9009
FirewallRules: [{65782A67-397B-42C3-9155-538D98615045}] => (Allow) LPort=9009
FirewallRules: [{4B9212EA-099D-441F-9364-73FC91023AB6}] => (Allow) LPort=9009
FirewallRules: [{78BBA2D4-3677-49C2-B012-6C8212DDA829}] => (Allow) LPort=9009
FirewallRules: [{2ECD93E9-35CF-434D-B5BD-9444EB0A981C}] => (Allow) LPort=9009
FirewallRules: [{066E0066-D99F-42FA-BD54-CFED8E6CFEA8}] => (Allow) LPort=9009
FirewallRules: [{3594EFAC-EB78-4C55-A229-C39605D70F9B}] => (Allow) LPort=9009
FirewallRules: [{AE4A9A81-66B8-4A71-BA37-11A7A9D40F35}] => (Allow) LPort=9009
FirewallRules: [{04F2BCF2-FD67-499B-A127-4B364ACF35B7}] => (Allow) LPort=9009
FirewallRules: [{BF76B8DC-F7FB-4418-A141-1628FCB78AE5}] => (Allow) LPort=9009
FirewallRules: [{9051CB7A-3306-4788-ACFE-D656205483F9}] => (Allow) LPort=9009
FirewallRules: [{92785E3F-4571-4B5B-95C4-294E9A25CB19}] => (Allow) LPort=9009
FirewallRules: [{2E4171A6-45C8-42ED-A701-E1F9F9036D18}] => (Allow) LPort=9009
FirewallRules: [{6DA743B0-D414-4B6A-956D-AE6CB09E0587}] => (Allow) LPort=9009
FirewallRules: [{12B13556-24CA-478D-83EF-A13FA8CE14FD}] => (Allow) LPort=9009
FirewallRules: [{3C4D5676-B512-4DFF-BDE6-7B7FCB299AAD}] => (Allow) LPort=9009
FirewallRules: [{A3526169-95B0-4668-98FC-3EDAC826ED66}] => (Allow) LPort=9009
FirewallRules: [{38DAE517-4B4F-4834-B17E-CCB55D5CC841}] => (Allow) LPort=9009
FirewallRules: [{1C5399F2-32E9-4A93-9D79-94A619602066}] => (Allow) LPort=9009
FirewallRules: [{E537B07E-2FE4-43BC-80B9-2F407F2FF1C5}] => (Allow) LPort=9009
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

На системном диске катастрофически мало свободного места:
Код: 
(Total:64.27 GB) (Free:5.39 GB)
 
Сделано

на данный момент
 

Вложения

  • Fixlog.txt
    Fixlog.txt
    14.6 KB · Просмотры: 2
  • 4.webp
    4.webp
    90.9 KB · Просмотры: 1
Последнее редактирование:
Хорошо. Вручную удалите исключения Защитника.

Завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
  • Like
Реакции: akok
Исправьте по возможности:

Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
AIDA64 Extreme v8.00 v.8.00 Внимание! Скачать обновления
NVIDIA App 11.0.5.245 v.11.0.5.245 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.142.0.3595.94 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Discord v.1.0.9213 Внимание! Скачать обновления
µTorrent v.3.6.0.47224 Внимание! Клиент сети P2P с рекламным модулем!

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу