Недавно подхватил майнер, думал что пк слабым стал: производительность упала, вентиляторы работали без нагрузки и т.д. Запускал и Dr.Web Cureit, еще какие-то. Пытался посмотреть через диспетчер, вроде нашел, называется taskhostw.exe, но перейти не мог, сразу закрывало проводник. Может что-то и помогло, вроде удалился, а вроде нет.
Решена Проблема с майнером taskhostw.exe
- Автор темы JunitX
- Дата начала
- Статус
- Сообщения
- 25,067
- Решения
- 5
- Реакции
- 13,708
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\SysWOW64\unsecapp.exe','');
QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe','');
QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe','');
DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
DeleteFile('C:\Windows\SysWOW64\unsecapp.exe','64');
DeleteSchedulerTask('Microsoft\Windows\RecoveryManagerX\RecoveryTask');
DeleteSchedulerTask('Microsoft\Windows\RecoveryManagerX\xiwdu');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\ExpressCheckUP');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\Filesystem');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\SystemSupport');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 25,067
- Решения
- 5
- Реакции
- 13,708
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
Подготовьте лог лог SecurityCheck by glax24
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: 2023-05-16 18:28 - 2023-05-16 18:28 - 000000000 __SHD C:\Users\JunitX\Downloads\AV_block_remover 2023-05-16 18:28 - 2023-05-16 18:28 - 000000000 __SHD C:\Users\JunitX\Desktop\AV_block_remover 2023-05-16 18:28 - 2023-05-16 18:28 - 000000000 __SHD C:\ProgramData\princeton-produce 2023-05-16 18:28 - 2023-05-16 18:28 - 000000000 __SHD C:\Program Files\RogueKiller AlternateDataStreams: C:\desktop.ini:CachedTiles [5654] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\WindowsWord.lnk:126EFFA2F4 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZeroTier.lnk:5D5C9F9C68 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZeroTier.lnk:8C4829C057 [3442] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8120] EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Подготовьте лог лог SecurityCheck by glax24
- Сообщения
- 25,067
- Решения
- 5
- Реакции
- 13,708
Исправьте по возможности
-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie 5.62.1 (64-bit) v.5.62.1 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.4.5 v.4.4.5 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 361 (64-bit) v.8.0.3610.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.112.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie 5.62.1 (64-bit) v.5.62.1 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.4.5 v.4.4.5 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 361 (64-bit) v.8.0.3610.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.112.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Все отлично, больше не перегревается, спасибо.
- Статус
Похожие темы
- Закрыта
