Решена Майнер taskhostw.exe Realtek HD

[Omoktazh]

Здравствуйте, по всем признакам (закрытие браузера на тематических форумах и тд) понял, что словил данный майнер. Пытался сначала удалить Dr. Web'ом, но результата не было. Далее нашел данные форумы, скачал AV_block. Запустил систему в безопасном режиме, так как иначе программу просто закрывало через секунду. Прежде чем начать сканирование поставил галочку в ячейке Произвести лечение, чем вероятно усложнил весь дальнейший процесс лечения. Логи прилагаю. Заранее спасибо!

 

[regist]

1) AVbr запустите ещё раз из обычного режима.
2) Профиксите в HijackThis

O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe --repair (file missing)

3) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

4) Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Omoktazh]

1) AVbr запустил в обычном режиме, но уже не ставил галочку пролечить. Комп перезагрузился.
2)Профиксил по гайду.
3) Архив закачал, он меньше 250мб, поэтому ссылку не прикрепляю.
4)

 

[regist]

Твикали систему? Куча разных политик, запретов (скрипт ниже их снесёт), часть служб покорёжена.


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM-x32\...\Run: [] => [X]
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:mobile-devices;workplace;sync;mobile-devices-addphone;mobile-devices-addphone-direct;maps;maps-downloadmaps;search-permissions;cortana-windowssearch;search-moredetails;privacy-speechtyping;privac (запись имеет ещё 588 символов).
  HKLM\...\Policies\Explorer: [HideSCAMeetNow] 1
  HKLM\...\Policies\Explorer: [NoInstrumentation] 1
  HKLM\...\Policies\Explorer: [NoRecentDocsHistory] 1
  HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
  HKLM\...\Policies\Explorer: [NoOnlinePrintsWizard] 1
  HKLM\...\Policies\Explorer: [NoPublishingWizard] 1
  HKLM\...\Policies\Explorer: [NoWebServices] 1
  HKLM\...\Policies\Explorer: [NoAutorun] 1
  HKLM\...\Policies\Explorer: [AllowOnlineTips] 0
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\Policies\Explorer: [HideSCAMeetNow] 1
  HKU\S-1-5-19\...\Policies\Explorer: [NoAutorun] 1
  HKU\S-1-5-20\...\Policies\Explorer: [HideSCAMeetNow] 1
  HKU\S-1-5-20\...\Policies\Explorer: [NoAutorun] 1
  HKU\S-1-5-21-1909429947-582542666-1850510762-1002\...\Policies\Explorer: [HideSCAMeetNow] 1
  HKU\S-1-5-21-1909429947-582542666-1850510762-1002\...\Policies\Explorer: [NoAutorun] 1
  HKU\S-1-5-21-1909429947-582542666-1850510762-1002\...\MountPoints2: {551ff92c-8d84-11ec-bae0-7085c29254ba} - "E:\SISetup.exe" 
  HKU\S-1-5-21-1909429947-582542666-1850510762-1002\...\MountPoints2: {b5ae78f0-ba4d-11ec-bb14-7085c29254ba} - "H:\setup.exe" 
  IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
  IFEO\DeviceCensus.exe: [Debugger] %windir%\system32\taskkill.exe
  GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1909429947-582542666-1850510762-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1909429947-582542666-1850510762-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  FirewallRules: [TCP Query User{34C04A17-AD11-47B6-8B8D-0315B05EB1C1}C:\users\grishakorol\desktop\новая папка\sdi_x64_r2111.exe] => (Allow) C:\users\grishakorol\desktop\новая папка\sdi_x64_r2111.exe => Нет файла
  FirewallRules: [UDP Query User{D870D575-137A-42F5-82D1-4E245D27F72D}C:\users\grishakorol\desktop\новая папка\sdi_x64_r2111.exe] => (Allow) C:\users\grishakorol\desktop\новая папка\sdi_x64_r2111.exe => Нет файла
  FirewallRules: [{FF002D0A-A1D5-423A-882A-386BE6CB6607}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
  FirewallRules: [TCP Query User{7B0796D8-9AEC-45DA-819A-D68A8C22C947}D:\games\vampire survivors v0.2.10d\vampiresurvivors.exe] => (Block) D:\games\vampire survivors v0.2.10d\vampiresurvivors.exe => Нет файла
  FirewallRules: [UDP Query User{224357B5-F660-412C-9EC0-24C14C35F7D5}D:\games\vampire survivors v0.2.10d\vampiresurvivors.exe] => (Block) D:\games\vampire survivors v0.2.10d\vampiresurvivors.exe => Нет файла
  FirewallRules: [TCP Query User{DE84348E-66C5-4C91-A343-25594FF20BDF}C:\users\grishakorol\appdata\local\discord\app-1.0.9004\discord.exe] => (Allow) C:\users\grishakorol\appdata\local\discord\app-1.0.9004\discord.exe => Нет файла
  FirewallRules: [UDP Query User{015DAC9F-08CF-4920-ABA8-159C48FE8944}C:\users\grishakorol\appdata\local\discord\app-1.0.9004\discord.exe] => (Allow) C:\users\grishakorol\appdata\local\discord\app-1.0.9004\discord.exe => Нет файла
  FirewallRules: [{13EDBD56-DF2B-4205-8F8B-549191F64B4C}] => (Allow) C:\Games\GTA5RP\RageMP\ragemp_v.exe => Нет файла
  FirewallRules: [{812CE021-F2DE-487C-AA82-297E9ACDAE45}] => (Allow) C:\Games\GTA5RP\RageMP\ragemp_v.exe => Нет файла
  FirewallRules: [{0AD0F1EF-6B31-4A84-8492-54EA1915B3A5}] => (Block) D:\Programs\ML\bin\matlab.exe => Нет файла
  FirewallRules: [TCP Query User{A99C918B-2955-4006-9AE1-25F5932E7270}D:\games\новая папка (2)\worldbox_v0.13.15\worldbox.exe] => (Allow) D:\games\новая папка (2)\worldbox_v0.13.15\worldbox.exe => Нет файла
  FirewallRules: [UDP Query User{BB50EDF6-FD8C-4709-B516-7F00E7585C7D}D:\games\новая папка (2)\worldbox_v0.13.15\worldbox.exe] => (Allow) D:\games\новая папка (2)\worldbox_v0.13.15\worldbox.exe => Нет файла
  FirewallRules: [TCP Query User{7080A3E6-8956-4B37-B39D-516DA751A7D7}M:\overwatch\_beta_\overwatch.exe] => (Allow) M:\overwatch\_beta_\overwatch.exe => Нет файла
  FirewallRules: [UDP Query User{0F5EA21E-80E4-491B-BD7F-D6773CFFFB33}M:\overwatch\_beta_\overwatch.exe] => (Allow) M:\overwatch\_beta_\overwatch.exe => Нет файла
  FirewallRules: [{3756D33F-3F12-4966-90C4-106B431375FB}] => (Allow) D:\No Man's Sky\7launcher\tools\aria2\aria2c.exe => Нет файла
  FirewallRules: [{0DC3D4FB-9411-4710-8F8E-7384A8EF6B44}] => (Allow) D:\No Man's Sky\7launcher\tools\aria2\aria2c.exe => Нет файла
  FirewallRules: [{43CB48D0-A8A0-4055-834A-1EB617EF7EDD}] => (Allow) D:\No Man's Sky\Run_NMS.exe => Нет файла
  FirewallRules: [{9BC04247-C483-4BD8-87FA-1CA2B2E28ADB}] => (Allow) D:\No Man's Sky\Run_NMS.exe => Нет файла
  FirewallRules: [TCP Query User{75818CE9-1F2A-47B9-91D9-B4A7846AF319}D:\downloads\core keeper\corekeeper.exe] => (Block) D:\downloads\core keeper\corekeeper.exe => Нет файла
  FirewallRules: [UDP Query User{C4095686-87D2-4A74-938B-AC5B672B0B62}D:\downloads\core keeper\corekeeper.exe] => (Block) D:\downloads\core keeper\corekeeper.exe => Нет файла
  FirewallRules: [TCP Query User{9B3466B3-BD16-4996-ACB0-F0C2DE35ADC8}D:\games\exbo\java\bin\exbolauncher.exe] => (Allow) D:\games\exbo\java\bin\exbolauncher.exe => Нет файла
  FirewallRules: [UDP Query User{B22DA342-DFF0-4558-A370-77BDC78CA488}D:\games\exbo\java\bin\exbolauncher.exe] => (Allow) D:\games\exbo\java\bin\exbolauncher.exe => Нет файла
  FirewallRules: [TCP Query User{12F440C4-054E-4DB3-8C34-074D1C2F3E3F}C:\users\grishakorol\appdata\local\discord\app-1.0.9005\discord.exe] => (Allow) C:\users\grishakorol\appdata\local\discord\app-1.0.9005\discord.exe => Нет файла
  FirewallRules: [UDP Query User{F6B4D860-D920-438D-8003-AEA3E796EEC9}C:\users\grishakorol\appdata\local\discord\app-1.0.9005\discord.exe] => (Allow) C:\users\grishakorol\appdata\local\discord\app-1.0.9005\discord.exe => Нет файла
  FirewallRules: [TCP Query User{9E8DA3C6-097E-487D-881A-008113E2906F}D:\games\noahsheart\azure\binaries\win64\azure-win64-shipping.exe] => (Allow) D:\games\noahsheart\azure\binaries\win64\azure-win64-shipping.exe => Нет файла
  FirewallRules: [UDP Query User{47633135-E2B2-499D-AD7F-9BB00BA70F12}D:\games\noahsheart\azure\binaries\win64\azure-win64-shipping.exe] => (Allow) D:\games\noahsheart\azure\binaries\win64\azure-win64-shipping.exe => Нет файла
  FirewallRules: [TCP Query User{282A6B1C-B383-44E4-93FA-CA13E90963BF}D:\games\exbo\runtime\stalcraft\win64\java\bin\stalcraft.exe] => (Allow) D:\games\exbo\runtime\stalcraft\win64\java\bin\stalcraft.exe => Нет файла
  FirewallRules: [UDP Query User{0911FAE3-8571-4A06-8CC8-F70A800B628F}D:\games\exbo\runtime\stalcraft\win64\java\bin\stalcraft.exe] => (Allow) D:\games\exbo\runtime\stalcraft\win64\java\bin\stalcraft.exe => Нет файла
  FirewallRules: [TCP Query User{FE473209-28E8-41D5-AD7A-FF1C31212641}M:\overwatch\_retail_\overwatch.exe] => (Allow) M:\overwatch\_retail_\overwatch.exe => Нет файла
  FirewallRules: [UDP Query User{D685C845-EC47-40BA-895B-699536191FEC}M:\overwatch\_retail_\overwatch.exe] => (Allow) M:\overwatch\_retail_\overwatch.exe => Нет файла
  
  
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

и

YAN Extension: (SaveFrom.net помощник) - C:\Users\GrishaKOROL\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2022-09-15]

рекомендую удалить Яндекс отключил расширения SaveFrom.net, Frigate Light, Frigate CDN и другие

 

[Omoktazh]

Добрый день, систему сильно не твикал, просто была сборка без лишней шелухи, и, наверное, сам отключал некоторые службы.
В дополнениях Яндекс браузера удалил SavefromNet, по указанному вами пути такой папки уже нет, надеюсь правильно сделал.

 

[regist]

ам отключал некоторые службы.

они не отключены, а именно повреждены.
Что с проблемой?

 

[Omoktazh]

они не отключены, а именно повреждены.
Что с проблемой?

По ощущениям все вернулось к прежнему состоянию, возможно даже лучше. По крайней мере, я явных проблем в работе не вижу. Если это все необходимые манипуляции в данной ситуации, которые надо было провести, то они принесли свои плоды. Спасибо вам огромное, я вам очень благодарен)

 

[regist]

• Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

 

[regist]

• Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

 

[Omoktazh]

Лог

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
FileZilla Client 3.58.0 v.3.58.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 7.5 v.7.5 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46514 Внимание! Клиент сети P2P с рекламным модулем!.


По возможности исправьте указанное.

Читайте Рекомендации после удаления вредоносного ПО