Решена Майнер, taskhostw.exe, Realtek HD

[Ton]

Открыл подозрительный фейковый инсталлятор с надеждой на Windows Defender, но он оказался отключен. Быстро закрыл процессы.
По итогу обнаружил измененный файл Hosts, и жалобу дефендера на ProgramData/RealtekHD/taskhostw.exe, который не удаляется самим антивирусом, а папка RealtekHD отсутствует даже при включенных "скрытых элементах".
Несколько антивирусов не устанавливались, а на их сайты смог попасть с помощью VPN. Без проблем запустилась Dr. Web CureIt!, но ничего не нашла.
После нашел этот форум и воспользовался AV block remover, переименовав его.
Сейчас все вроде бы отлично — как до заражения. Единственное, в автозагрузках осталась неактивная Taskhostw. Это возможно удалить?

---

За все время работу самого майнера в виде нагрузки на систему не заметил.

 

[Sandor]

Здравствуйте!

"Пофиксите" в HijackThis только следующие строки:

O4 - HKLM\..\StartupApproved\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing) (2023/01/13)
O22 - Tasks: WindowedBorderlessGaming-Antox - C:\Users\Antox\Desktop\Game Soft\WINDOW~1\WINDOW~1.EXE (file missing)

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Ton]

Логи

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Driver Booster 10

Сообщите, решена ли проблема.

 

[Ton]

Да, решена. Большое спасибо за помощь!

 

[Sandor]

Хорошо. Проделайте в завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.