Решена Проблема с вирусом taskhostw: что делать?

Статус
В этой теме нельзя размещать новые ответы.
Y

Yan

Новый пользователь
Сообщения
9
Реакции
0
Здравствуйте!
Поймал сегодня вирус taskhostw. Он маскировался под процессами Realtek HD и COM Surrogate и грузил систему. После применения чудо-утилиты AV block remover всё работает хорошо. Через Проводник нашёл в папке утилиты "приложение" taskhostw.exe (см. скрин). Что с ним делать дальше? Применил автосборщика логов AutoLogger, zip-архив прикрепляю. Хочу поинтересоваться, что ещё нужно сделать, чтобы окончательно разобраться с проблемой?
Заранее благодарен.
 

Вложения

Последнее редактирование:
Еще лог avbr прикрепите. В логах только остатки, их и зачистим

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O22 - Tasks: \Microsoft\Windows\WindowsBackup\CheckGlobal - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\DataBase - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O22 - Tasks_Migrated: \McAfee\McAfee Idle Detection Task - {ABCDCA3B-DE6B-5A7C-B132-6D7CBA63E5C5} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\Diagnosis\RecommendedTroubleshootingScanner - C:\WINDOWS\system32\mitigationscanner.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\Cleaner - C:\Programdata\WindowsTask\winlogon.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\RealtekHDControl - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\RealtekHDStartUP - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\Taskhost - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\Taskhostw - C:\Programdata\RealtekHD\taskhostw.exe (file missing)

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.
 
В HijackThis строки пофиксил. AVZ выполняется.
А лог avbr где можно найти? Это список элементов на карантине?

UPD: AVZ создал архив, размер 279МБ
Ссылка: virusinfo_auto_LAPTOP-NGE69GJG.zip
 
Последнее редактирование:
Первый файл под папкой с карантином и есть лог AVBR
 
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код: 
Start::
CreateRestorePoint:
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
2023-07-29 18:05 - 2023-07-29 18:05 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
2023-07-29 18:05 - 2023-07-29 18:05 - 000000000 __SHD C:\ProgramData\princeton-produce
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log:F107EE40EF [3314]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log_backup1:2DD1EC5C91 [3314]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer10.log:CCC93B07B0 [3314]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer2.log:CCB2353F35 [3314]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer2.log_backup1:0544EFE2DB [10]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer3.log:8A1F56CED6 [3314]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer3.log_backup1:A473474DD2 [3314]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer4.log:3B2EC2BDEF [10]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer4.log_backup1:DC5D04D24A [3314]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer5.log:84BD5AAA09 [3314]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer5.log_backup1:038079845B [3314]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer6.log:4C1811BCCA [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop CC 2019.lnk:AAF8908258 [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Audio Switch.lnk:BD4A45E559 [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Documentation.lnk:92B3809DA8 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3314]
FirewallRules: [{ABE0944F-0D65-4DB7-8CDB-AE4E1A6A90BB}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{208B837C-7CBC-403E-A835-90258094FC45}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{9466A248-7957-4B0A-871B-E31B01B6A827}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{4CF4455E-21A1-43D7-AD40-29314D533968}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [UDP Query User{BDAF05B2-0F8E-4630-8394-1AD146F9B8B9}C:\games\thelongdark\tld.exe] => (Allow) C:\games\thelongdark\tld.exe => Нет файла
FirewallRules: [TCP Query User{E097360F-7DFA-47EA-944D-FDC4E43E2476}C:\games\thelongdark\tld.exe] => (Allow) C:\games\thelongdark\tld.exe => Нет файла
FirewallRules: [{053BD617-B837-4BEC-A2EA-C3AC57F4269B}] => (Allow) C:\Users\kroti\AppData\Local\Programs\Opera\73.0.3856.329\opera.exe => Нет файла
FirewallRules: [{CDCD9663-E1B8-4865-9D17-25AFE65CFF31}] => (Allow) C:\ProgramData\Blackmagic Design\DaVinci Resolve\Support\QtDecoder\QTDecoder.exe => Нет файла
FirewallRules: [{15087702-5C01-46EB-96FB-60A736CBB50A}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe => Нет файла
FirewallRules: [{31C63E57-4466-479D-AB5B-20D395407A5F}] => (Allow) C:\Games\WGCheck RU\WGCheck.exe => Нет файла
FirewallRules: [{0FA80D1C-0C96-4564-B756-4A67F8530DDD}] => (Allow) C:\Games\WGCheck RU\WGCheck.exe => Нет файла
FirewallRules: [TCP Query User{9B23E973-D480-4E78-A451-6C9F533D9563}C:\games\warthunder\launcher.exe] => (Allow) C:\games\warthunder\launcher.exe => Нет файла
FirewallRules: [UDP Query User{938DB6D6-DD65-499E-A0B7-CC960A81A01A}C:\games\warthunder\launcher.exe] => (Allow) C:\games\warthunder\launcher.exe => Нет файла
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 
  • Like
Реакции: akok
Проверяйте работу системы.
 
Yan написал(а):
Вроде бы всё работает, как нужно. Единственное Защитник Windows (процесс Antimalware Service Executible) отжирает 170-270 МБ оперативной памяти, хотя он выключен/
Нажмите для раскрытия...
Хотя, наверное, это нормально. На другом ПК примерно столько же.
 
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
 
А avbr и autologger можно просто удалить?
 

Вложения

да, уже не нужны они.
Исправьте по возможности и удачи
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.24.0.135 v.3.24.0.135 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
 
  • Like
Реакции: Yan
Хорошо, понял.

Спасибо огромное)
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу