Решена Помогите удалить taskhostw.exe, av block remover не помог
- Автор темы invisg
- Дата начала
-
- Теги
- taskhostw.exe
- Статус
- Сообщения
- 3,879
- Реакции
- 2,431
Удалось немного стабилизировать систему:
При загрузке системы заморозил процесс taskhost.exe до отработки всех скриптов сего софта.
Я не совсем понял, что от меня хотели послав RTFM, но, на всякий случай собрал CollectionLog и прикрепил лог AV Block remove...
При загрузке системы заморозил процесс taskhost.exe до отработки всех скриптов сего софта.
Я не совсем понял, что от меня хотели послав RTFM, но, на всякий случай собрал CollectionLog и прикрепил лог AV Block remove...
Не знаю, поможет ли, но вот такое обнаружил при старте системы (оно очень быстро пробегает и пропадает, потом появляются процессы taskhost.exe и audiodg.exe), это и натолкнуло на мысль заморозить taskhost.exe.
Еще в начале я перепробовал запустить диспетчеры задач - сразу закрывались. Есть в винде софтина "Мониторинг ресурсов", она тоже иногда закрывается, но реже. С ее помощью так же можно заморозить процессы taskhost.exe и audiodg.exe, и после этого можно открывать диспетчеры задач...
Еще в начале я перепробовал запустить диспетчеры задач - сразу закрывались. Есть в винде софтина "Мониторинг ресурсов", она тоже иногда закрывается, но реже. С ее помощью так же можно заморозить процессы taskhost.exe и audiodg.exe, и после этого можно открывать диспетчеры задач...
Вложения
- Сообщения
- 3,879
- Реакции
- 2,431
Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)
После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
Код:
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D85F83F5-ED09-49BC-A506-32C837CA0904} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (user missing) (sign: 'Microsoft')
O22 - Tasks: (disabled) \Microsoft\Windows\DataBaseE\RecoveryHosts - C:\ProgramData\Microsoft\MapData\vOmqqzsrDTONZ2\DataBaseE.bat (not signed)
O22 - Tasks: (disabled) \Microsoft\Windows\Wininet\Hor - C:\ProgramData\Microsoft\MapData\vOmqqzsrDTONZ2\Game.exe -ppidar (not signed)После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
- Сообщения
- 3,879
- Реакции
- 2,431
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Код:
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1751462202-1093730770-1431021287-1001\...\MountPoints2: {2471b2bc-c86a-11ec-b4f0-0492265982ec} - "D:\HiSuiteDownLoader.exe"
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {4D598B07-CD86-4BE3-88B6-17AC49CC0128} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe --automatic (Нет файла)
Task: {FE3A12FE-944B-4D2B-A02E-64E4155D2E45} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Нет файла)
S2 asus; "C:\Program Files (x86)\ASUS\Update\AsusUpdate.exe" /svc [X]
S3 asusm; "C:\Program Files (x86)\ASUS\Update\AsusUpdate.exe" /medsvc [X]
2023-08-12 14:59 - 2023-08-12 14:59 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
2023-08-12 14:59 - 2023-08-12 14:59 - 000000000 __SHD C:\Users\Mr.XVII\AppData\Roaming\Sysfiles
2023-08-12 14:59 - 2023-08-12 14:59 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-12 14:59 - 2023-08-12 14:59 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-12 14:59 - 2023-08-12 14:59 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-12 14:59 - 2023-08-12 14:59 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Честно говоря, симптомы манера пропали, когда я заморозил службу taskhost.exe при запуске системы, смог запустить AnVir Task Manager и удалил из автозагрузки все записи с меткой "Файл не Майкрософта в папке Windows" и еще ряд сомнительных записей, появившихся недавно, а так же сбросил групповые политики и политики блокировки ПО.
В целом:
Надеюсь после ваших рекомендаций удалось подчистить остальные хвосты, которые я не увидел.
Огромное спасибо за помощь!
P.S. Нашел файл, из которого, предположительно (желания проверять пока что нет), и развернулся этот майнер. Если нужно, могу отправить ссылку на запароленный архив и пароль к архиву.
В целом:
- Диспетчеры задач открываются и работают
- Не создается пользователь John при перезагрузке
- Не создаются директории майнера в папке ProgramData
- Нет подозрительного трафика
Надеюсь после ваших рекомендаций удалось подчистить остальные хвосты, которые я не увидел.
Огромное спасибо за помощь!
P.S. Нашел файл, из которого, предположительно (желания проверять пока что нет), и развернулся этот майнер. Если нужно, могу отправить ссылку на запароленный архив и пароль к архиву.
Вложения
- Сообщения
- 16,466
- Решения
- 1
- Реакции
- 3,449
В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
- Статус
Похожие темы
- Закрыта
