Решена майнер taskhost и ReaItek HD

[Normandec07]

добрый день уважаемые форумчане. столкнулся с этим майнером который грузит видеокарту и процессор. обнаружил случайно, после того как гуглил проблему не влючения оверлея в программе Nvidia experience. как оказалось эта зараза удаляет файл в папке с программой. подтвердил свои опасения тем , что не мог зайти ни в планировщик, ни в папку Program Data. любые упоминания антивируса в браузере, и тот сразу же закрывается. через безопасный режим увидел в папке Program Data то место где он обитает и даже удалил эти папки, но не чего не изменилось. всё усугубляется тем ,что у меня на двух разных твердотельниках стоят разные виндоус. на одном стоит 10 ,а на другом стоит 11.и в обоих системных папках есть эта зараза. еще все усугубляет то, что сейчас я пишу сюда с ноутбука, потому как все браузеры на том, больном компе, отказываются открывать ваш сайт и форум. очень прошу помощи у вас с этой проблемой.

 

[Sandor]

Здравствуйте!

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела - Правила оформления запроса о помощи
Нужное скачивайте на здоровом компьютере и переносите на зараженный.

 

[Sandor]

@Normandec07, вы дважды регистрировались здесь? Вторую учётку Normandec можем удалить?

 

[Normandec07]

@Normandec07, вы дважды регистрировались здесь? Вторую учётку Normandec можем удалить?

да,первую так и не смог подтвердить письмом на почту.не знаю почему,происходили какие то сбои.буду отписыываться с этой учетки.скачать то что нужно для сбора лого.сейчас пойду скидывать на тот больной комьютер.

 

[Normandec07]

Здравствуйте!

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела - Правила оформления запроса о помощи
Нужное скачивайте на здоровом компьютере и переносите на зараженный.

раза с 20 смог разархивировать. и так же запустить. после завершения процесса. папка с с программой закрывается сразу после захода в нее. попытался ее скопировать и скинул на ноутбук. не очень понимаю, что я оттуда должен скинуть сюда.файла с названием AV_block_remove_дата-время.log нет. есть архив с названием CollectionLog-2023.12.21-18.21

 

[Normandec07]

вот. прошу прощения за недопонимание моё.

 

[Sandor]

Вы собрали архив с помощью Autologger.
Теперь нужно постараться запустить AVbr.exe (или переименованную).
В крайнем случае, если никак не получается, запускайте его в безопасном режиме с поддержкой сети.
После перезагрузки должен появиться искомый отчёт, прикрепите его. А также соберите новый CollectionLog Автологером.

 

[Normandec07]

перезагрузил компьютер и из безопасного режима сделал.

 

[Sandor]

Возможно я неправильно объяснил.
В безопасном режиме с поддержкой сети нужно запустить файл AVbr.exe (или переименованный), выполнить все инструкции и дождаться перезагрузки.
После этого уже в нормальном режиме нужно еще раз запустить Autologger.exe и собрать новый CollectionLog.

 

[Normandec07]

Возможно я неправильно объяснил.
В безопасном режиме с поддержкой сети нужно запустить файл AVbr.exe (или переименованный), выполнить все инструкции и дождаться перезагрузки.
После этого уже в нормальном режиме нужно еще раз запустить Autologger.exe и собрать новый CollectionLog.

в папке AV_block_remover открыть приложение tuskhostw? мне очень стыдно перед вами, но я не виду AVbr.exe не где в папке

 

[Sandor]

Скачайте AV block remover (или с зеркала).

По одной из этих ссылок скачивается именно этот файл в архиве.

 

[Normandec07]

По одной из этих ссылок скачивается именно этот файл в архиве.

не скачивается не с одного браузера. может еcть другая рабочая ссылка для скачивания avbr?

 

[Sandor]

Залил на облако.

 

[Normandec07]

не запускается. "операция отменена из за ограничений действующих на этом компьютере. обратитесь к системному администратору."

 

[Sandor]

В безопасном режиме с поддержкой сети нужно запустить файл AVbr.exe (или переименованный),

Так пробуйте.

 

[Normandec07]

два раза перезагрузил в безопасном режиме. на третий раз запустилось. сейчас в обычном режиме собираю новые логи после avbr, скажите как быть с тем что у меня на втором жестком накопителе есть виндоус 11 с этим же вирусом? он тоже сейчас удалится или надо всю процедуру заново проделывать?

 

[Normandec07]

вот свежий после avbr.

 

[Normandec07]

Так пробуйте.

компьютеру явно полегчало. в браузере нормально можно скачать интивирус, без закрытия браузера. в папку programData могу спокойно зайти, автологер теперь тоже отрывается без заминок.

 

[Sandor]

собираю новые логи после avbr

А файл AV_block_remove_дата-время.log появился? Если да, тоже прикрепите его.

есть виндоус 11 с этим же вирусом? он тоже сейчас удалится или надо всю процедуру заново проделывать?

Да, нужно собрать CollectionLog Автологером в той системе.

Здесь продолжаем:

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Driver Booster 9.3.0.207

2. Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3. "Пофиксите" в HijackThis только следующие строки:

O4 - HKCU\..\Run: [Firefox Browser] = C:\Firefox\X-Firefox.exe (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Tasks: preserve-popular - C:\ProgramData\portuguese-protect\bin.exe /H (file missing)

Перезагрузите компьютер.

4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Normandec07]

прикрепляю отчет ClearLNK