Решена Помогите избавиться от майнера taskhost (John)

Статус
В этой теме нельзя размещать новые ответы.
Sysyp

Sysyp

Новый пользователь
Сообщения
6
Реакции
0
С помощью Av Block remover все вроде как удалил - но все равно в процессах висят taskhost и taskhostw.
 

Вложения

Утилита не отработала до конца. Запустите её в безопасном режиме с поддержкой командной строки
 
Может это сможет помочь
 

Вложения

safezone.cc

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...
safezone.cc safezone.cc

И давайте свежие логи FRST (предыдущие уже не актуальны)
 
akok написал(а):
safezone.cc

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...
safezone.cc safezone.cc

И давайте свежие логи FRST (предыдущие уже не актуальны)
Нажмите для раскрытия...
 

Вложения

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Edge HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=818408
Edge StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818408","hxxp://mail.ru/cnt/10445?gp=811013","hxxp://mypoisk.su/","hxxps://mail.ru/cnt/10445?gp=812205","hxxp://rusearch.co/"
C:\Users\Sysyp\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=818408
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818408","hxxp://mail.ru/cnt/10445?gp=811013","hxxp://mypoisk.su/","hxxps://mail.ru/cnt/10445?gp=812205","hxxp://rusearch.co"
C:\Users\Sysyp\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
CHR HKU\S-1-5-21-137437421-3027484883-3468045739-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
2024-06-02 07:15 - 2024-06-02 07:15 - 000000000 __SHD C:\Program Files\ReasonLabs
2024-06-02 07:15 - 2024-06-02 07:15 - 000000000 __SHD C:\Program Files (x86)\Wise
2024-06-02 07:14 - 2024-06-02 07:14 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
FirewallRules: [{B2216494-4AEF-4224-81BB-080545FC094C}] => (Allow) C:\Users\Sysyp\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{F61C38CA-F3B4-438D-99E6-9FFCA56A9D72}] => (Allow) C:\Users\Sysyp\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{31BC8AF1-9E6E-45F9-B085-F8861C5EE78B}] => (Allow) C:\Users\Sysyp\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
FirewallRules: [{0F72CC03-936C-4606-93F8-F1C276607D2A}] => (Allow) C:\Users\Sysyp\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Sandor написал(а):
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Edge HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=818408
Edge StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818408","hxxp://mail.ru/cnt/10445?gp=811013","hxxp://mypoisk.su/","hxxps://mail.ru/cnt/10445?gp=812205","hxxp://rusearch.co/"
C:\Users\Sysyp\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=818408
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818408","hxxp://mail.ru/cnt/10445?gp=811013","hxxp://mypoisk.su/","hxxps://mail.ru/cnt/10445?gp=812205","hxxp://rusearch.co"
C:\Users\Sysyp\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
CHR HKU\S-1-5-21-137437421-3027484883-3468045739-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
2024-06-02 07:15 - 2024-06-02 07:15 - 000000000 __SHD C:\Program Files\ReasonLabs
2024-06-02 07:15 - 2024-06-02 07:15 - 000000000 __SHD C:\Program Files (x86)\Wise
2024-06-02 07:14 - 2024-06-02 07:14 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
FirewallRules: [{B2216494-4AEF-4224-81BB-080545FC094C}] => (Allow) C:\Users\Sysyp\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{F61C38CA-F3B4-438D-99E6-9FFCA56A9D72}] => (Allow) C:\Users\Sysyp\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{31BC8AF1-9E6E-45F9-B085-F8861C5EE78B}] => (Allow) C:\Users\Sysyp\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
FirewallRules: [{0F72CC03-936C-4606-93F8-F1C276607D2A}] => (Allow) C:\Users\Sysyp\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Нажмите для раскрытия...
1717696099979.webp

Все также процессы висят
 

Вложения

1. Не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

2. Вы редактировали самостоятельно скрипт? Не хватает результатов нескольких команд.

3. Вредоносы часто маскируются под системные процессы. Те, что вы видите в Диспетчере - нормальные.
 
1.ок
2.Возможно не полностью скопировал
3.тогда ок
 

Вложения

Хорошо, завершаем:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

Tarisha
  • Закрыта
Решена Помогите избавиться от майнера Jhon
Ответы
14
Просмотры
721
Tarisha
Tarisha
N
Закрыто помогите избавиться от последствий майнера
Ответы
11
Просмотры
624
akok
akok
C
  • Закрыта
Решена Tool.btcmine 2660 помогите избавиться от майнера
Ответы
12
Просмотры
1K
Crovean
C
Назад
Сверху Снизу