Решена Запуск AV Block Remover и обнаружение taskhostw

Develian · 20 Апр 2024

Удалил данный майнер с помощью программы AV block remover(файл текстовый с временем 20.59). В папке AV block remover удалил файл с таким же названием, затем просканировал систему с помощью Dr. Web Cureit, он обнаружил какие то файлы вредоносные в данной папке и удалил их. После я снова просканировал систему данной программой, и она ничего не выявила. После зашел на этот сайт, нашел тему по удалению, выполнил скрипт, но, вроде ничего не поменялось(текстовый файл с временем 0.50). После решил еще раз запустить AV block remover и просканировать систему(текстовый файл 0.58), и в папке снова появился файл taskhostw, но Dr Web Cureit на него не реагирует. И у меня возникает вопрос, нужны ли были мои данные действия, и что делать дальше с папкой AV Block Remover и файлом taskhostw?

Develian · 20 Апр 2024

Develian написал(а):
Удалил данный майнер с помощью программы AV block remover. В папке AV block remover удалил файл с таким же названием, затем просканировал систему с помощью Dr. Web Cureit, он обнаружил какие то файлы вредоносные в данной папке и удалил их. После я снова просканировал систему данной программой, и она ничего не выявила. После решил еще раз запустить AV block remover, и в папке снова появился файл taskhostw, но Drt Web Cureit на него не реагирует. И у меня возникает вопрос, нужны ли были мои данные действия, и что делать дальше с папкой AV Block Remover и файлом taskhostw?Посмотреть вложение 108810 Посмотреть вложение 108811

Sandor · 21 Апр 2024

Здравствуйте!

Develian написал(а):
нашел тему по удалению, выполнил скрипт

Скрипты пишутся индивидуально. Выполняя чужой скрипт, вы рискуете себе навредить. В лучшем случае, как и произошло у вас, ничего не поменяется.

Соберите CollectionLog по правилам раздела, проверим - Правила оформления запроса о помощи

akok · 21 Апр 2024

++

Develian написал(а):
и что делать дальше с папкой AV Block Remover и файлом taskhostw?

это переименованная утилита AVZ. Это норма

Develian · 21 Апр 2024

Sandor написал(а):
Здравствуйте!

Скрипты пишутся индивидуально. Выполняя чужой скрипт, вы рискуете себе навредить. В лучшем случае, как и произошло у вас, ничего не поменяется.

Соберите CollectionLog по правилам раздела, проверим - Правила оформления запроса о помощи

Sandor · 21 Апр 2024

Выглядит неплохо. Но сделаем ещё проверку:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Develian · 21 Апр 2024

Sandor написал(а):
Выглядит неплохо. Но сделаем ещё проверку:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Sandor · 21 Апр 2024

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2715364358-1023928809-1987452093-1001\...\MountPoints2: {b1366c76-fb2c-11ee-a157-d843ae2bd1d1} - "E:\SISetup.exe" 
2024-04-20 21:02 - 2024-04-20 21:02 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
2024-04-20 18:04 - 2024-04-20 18:20 - 000000000 ____D C:\Users\maks1\Doctor Web
Unlock: C:\Users\maks1\OneDrive\Рабочий стол\AV_block_remover
Unlock: C:\Users\maks1\OneDrive\Рабочий стол\AutoLogger
2024-04-14 13:51 - 2024-04-14 13:51 - 000000000 __SHD C:\Program Files\ReasonLabs
2024-04-14 13:51 - 2024-04-14 13:51 - 000000000 __SHD C:\Program Files (x86)\Wise
2024-04-14 13:50 - 2024-04-14 13:50 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
FirewallRules: [{26631ED0-0BC4-48A7-9DDA-AB8BAD0F2E46}] => (Allow) LPort=32683
FirewallRules: [{DC3918AC-AE94-4356-9BB4-96C92D4D6A7D}] => (Allow) LPort=26822
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Develian · 21 Апр 2024

Sandor написал(а):
Не цитируйте, пожалуйста, полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-2715364358-1023928809-1987452093-1001\...\MountPoints2: {b1366c76-fb2c-11ee-a157-d843ae2bd1d1} - "E:\SISetup.exe" 2024-04-20 21:02 - 2024-04-20 21:02 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files 2024-04-20 18:04 - 2024-04-20 18:20 - 000000000 ____D C:\Users\maks1\Doctor Web Unlock: C:\Users\maks1\OneDrive\Рабочий стол\AV_block_remover Unlock: C:\Users\maks1\OneDrive\Рабочий стол\AutoLogger 2024-04-14 13:51 - 2024-04-14 13:51 - 000000000 __SHD C:\Program Files\ReasonLabs 2024-04-14 13:51 - 2024-04-14 13:51 - 000000000 __SHD C:\Program Files (x86)\Wise 2024-04-14 13:50 - 2024-04-14 13:50 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll FirewallRules: [{26631ED0-0BC4-48A7-9DDA-AB8BAD0F2E46}] => (Allow) LPort=32683 FirewallRules: [{DC3918AC-AE94-4356-9BB4-96C92D4D6A7D}] => (Allow) LPort=26822 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End::

Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor · 21 Апр 2024

Sandor написал(а):
Не цитируйте, пожалуйста, полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Вы не обратили внимания?

Удалите лишние исключения Защитника и сообщите остались ли ещё какие проблемы.

Develian · 21 Апр 2024

Не обратил внимания, извиняюсь. Вот еще защитник Windows ругается на соответственно AV Block Remover, и программу AnVirManager, которую я уже удалил, но почему то защитник Windows все равно ругается, и данная папка не отображается в указанном месте(Dr Web Cureit то ли не видит, то ли просто угрозы не видит(это про AnVirManager)). Ну, и я так понимаю, папку с AV Block Remover и саму программу можно спокойно удалять?

Sandor · 21 Апр 2024

Develian написал(а):
защитник Windows ругается на соответственно AV Block Remover

Это ложное срабатывание.

Да, удаляем так:

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

В завершение сделайте такую проверку:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Develian · 21 Апр 2024

Сделал

Sandor · 21 Апр 2024

Исправьте по возможности:

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Discord v.1.0.9041 Внимание! Скачать обновления

Читайте Рекомендации после удаления вредоносного ПО

Решена Запуск AV Block Remover и обнаружение taskhostw

Develian

Новый пользователь

Вложения

Develian

Новый пользователь

Sandor

akok

Develian

Новый пользователь

Вложения

Sandor

Develian

Новый пользователь

Вложения

Sandor

Develian

Новый пользователь

Вложения

Sandor

Develian

Новый пользователь

Вложения

Sandor

Develian

Новый пользователь

Вложения

Sandor