Решена скрытый майнер taskhostw.exe помогите

[timtimur82]

Вчера словил майнер taskhostw помогите удалить, логи приложил

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  (Microsoft Corporation) [Файл не подписан] C:\ProgramData\ReaItekHD\taskhost.exe
  C:\ProgramData\ReaItekHD\taskhost.exe
  (Realtek Semiconductor) [Файл не подписан] C:\ProgramData\ReaItekHD\taskhostw.exe
  C:\ProgramData\ReaItekHD\taskhostw.exe
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe [31150608 2023-05-13] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
  HKLM Group Policy restriction on software: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_* <==== ВНИМАНИЕ
  HKLM Group Policy restriction on software: C:\Program Files (x86)\Microsoft\Edge* <==== ВНИМАНИЕ
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
  HKU\S-1-5-21-2007257739-1658888827-114924832-1002 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
  HKU\S-1-5-21-2007257739-1658888827-114924832-1002 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  IFEO\calc.exe: [Debugger] win32calc.exe
  IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\system32\systray.exe
  IFEO\MicrosoftEdge.exe: [Debugger] C:\Windows\System32\systray.exe
  IFEO\upfc.exe: [Debugger] svchost.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {1006B289-BDA1-4271-8EE9-75AECC3B65DB} - System32\Tasks\Microsoft\Windows\WindowsBackup\DataBase => C:\Windows\SysWOW64\unsecapp.exe (Нет файла)
  Task: {19EC1799-BFEB-492A-98D7-4B0267F8AE3A} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] <==== ВНИМАНИЕ
  Task: {4CE20597-4281-456C-A140-91FA70C2E296} - System32\Tasks\Microsoft\Windows\WindowsBackup\CleanCash => C:\Programdata\ReaItekHD\taskhost.exe [23298576 2023-05-13] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
  C:\Programdata\ReaItekHD\taskhost.exe
  Task: {9EB18AA4-1BEB-49CD-AEE6-F357973ACE29} - System32\Tasks\Microsoft\Windows\WindowsBackup\ServiceControl => C:\Programdata\ReaItekHD\taskhostw.exe [31150608 2023-05-13] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
  C:\Programdata\ReaItekHD\taskhostw.exe
  Task: {9EBE3AB6-26A4-4A15-B880-C11E21FA2FFC} - System32\Tasks\Microsoft\Windows\DataBaseT\RecoveryHosts => C:\Programdata\Microsoft\wstfc\script.bat [2797 2023-05-19] () [Файл не подписан] <==== ВНИМАНИЕ
  C:\Programdata\Microsoft\wstfc\script.bat
  Task: {C75C859A-A691-4B84-AE38-9E585658A509} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe [31150608 2023-05-13] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
  C:\Programdata\ReaItekHD\taskhostw.exe
  Task: {CDAD8C1B-E846-4FF4-9E99-F3A11FCF235B} - System32\Tasks\Microsoft\Windows\DataBaseT\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe [31150608 2023-05-13] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
  Task: {E272EF0D-2705-4EDD-BBEA-4F1DC85D0186} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] <==== ВНИМАНИЕ
  C:\ProgramData\Windows Tasks Service\winserv.exe
  C:\Programdata\ReaItekHD\taskhostw.exe
  C:\Programdata\ReaItekHD\taskhost.exe
  C:\Programdata\ReaItekHD\taskhost.exe
  Task: {ECAD7A00-0CC0-4584-8A36-69A37A944A14} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe [23298576 2023-05-13] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
  Task: {FB18C0B0-7918-4A7E-8DEE-F492C6994D1A} - System32\Tasks\Microsoft\Windows\DataBaseT\wstfc => C:\Programdata\ReaItekHD\taskhost.exe [23298576 2023-05-13] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  2023-05-19 16:49 - 2023-05-19 16:49 - 000000000 __SHD C:\ProgramData\WindowsTask
  2023-05-19 16:49 - 2023-05-19 16:49 - 000000000 __SHD C:\ProgramData\Setup
  2023-05-19 16:49 - 2023-05-19 16:49 - 000000000 __SHD C:\ProgramData\ReaItekHD
  2023-05-19 16:49 - 2023-05-19 16:49 - 000000000 __SHD C:\Program Files\ByteFence
  2023-05-19 16:49 - 2023-05-19 16:49 - 000000000 ___HD C:\ProgramData\Windows Tasks Service
  2023-05-19 16:49 - 2023-05-19 16:49 - 000000000 ___HD C:\ProgramData\Install
  2023-05-19 16:46 - 2023-05-19 16:49 - 000000000 ___HD C:\Program Files\RDP Wrapper
  2023-05-19 16:49 C:\Program Files\ByteFence
  2023-05-19 01:12 C:\Program Files\RogueKiller
  2023-05-19 01:12 C:\ProgramData\princeton-produce
  2023-05-19 01:12 C:\Users\rozzi\Desktop\AV_block_remover
  2023-05-19 01:12 C:\Users\rozzi\Downloads\AV_block_remover
  John (S-1-5-21-2007257739-1658888827-114924832-1005 - Administrator - Enabled)
  BHO: Нет имени -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> Нет файла
  BHO-x32: Нет имени -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[timtimur82]

вот

 

[akok]

Что с системой?

 

[timtimur82]

вроде все в порядке, ссылки с антивирусами открывает, из автозагрузки пропал

 

[akok]

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

 

[timtimur82]

вот

 

[akok]

Исправьте по возможности и удачи

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.9.141.259 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
uTorrent v.3.5.3.44358 v.3.5.3.44358 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.5.10.2414 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.23.3.3.721 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

[timtimur82]

Спасибо огромное за помощь!

 

[timtimur82]

Информация

Начало темы в открытом разделе: Обнаружено переполнение стекового буфера

Сейчас приложу логи

 

[timtimur82]

@regist

 

[regist]

Надо было выполнять в той последовательно в которой написано было там. То есть сначала лечение AVbr, а потом уже логи Автологера.

И скрипт Обнаружено переполнение стекового буфера вы не выполняли?

+Покажите содержимое файла C:\Windows\SafeMode.vbs
+ посмотрите что в папке C:\ProgramData\qwrqwr

 

[timtimur82]

скрипт выполнил, не помогло

вот

if Wscript.Arguments.Count = 0 then
Wscript.Quit
end if

set arg = Wscript.Arguments
set run = WScript.CreateObject("WScript.Shell")

if arg(0) = "reboot" then
run.Run "cmd /c bcdedit /deletevalue {current} safeboot & shutdown -r -f -t 0", 0, true
elseif arg(0) = "safemode" then
run.Run "cmd /c bcdedit /set {current} safeboot minimal & shutdown -r -f -t 0", 0, true
elseif arg(0) = "cmd" then
run.Run "cmd /c bcdedit /set {current} safeboot minimal & bcdedit /set {current} safebootalternateshell yes & shutdown -r -f -t 0", 0, true
elseif arg(0) = "network" then
run.Run "cmd /c bcdedit /set {current} safeboot network & shutdown -r -f -t 0", 0, true
end if

такой папки нет

сейчас пролечусь AVBR и прикреплю логи

 

[regist]

скрипт выполнил, не помогло

скрипт выполняли после сбора логов Автологера? Соберите свежие логи.

+ Содержимое папки :\ProgramData\qwrqwr можете показать? Лучше всего смотреть через Тотал Командер, либо включить в проводнике отображение скрытых папок.

 

[timtimur82]

в тотал коммандере не наблюдается эта папка

вот свежие логи

поможет полная переустановка системы может?

вот порылся и нашел две папки в програм дата с вирусом как я понял

 

[regist]

Уже лучше выглядит, выполните ещё такой скрипт

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2007257739-1658888827-114924832-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {397C2825-DC87-4795-90B6-D2D9749B0D2B} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Нет файла)
  Folder: C:\ProgramData\qwrqwr
  Folder: C:\ProgramData\123123
  Folder: C:\Temp
  2023-05-19 16:49 - 2023-05-19 16:49 - 000000000 __SHD C:\ProgramData\qwrqwr
  2023-05-19 01:11 - 2023-05-19 01:11 - 000000000 __SHD C:\ProgramData\123123
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[regist]

А файл которым заразились сохранился? Можете в ЛС мне его скинуть?

 

[timtimur82]

А файл которым заразились сохранился? Можете в ЛС мне его скинуть?

я после того как заразился, сразу винду снес и новую поставил, но не помогло и вирус снова появился

 

[timtimur82]

вот лог фикса

 

[timtimur82]

А файл которым заразились сохранился? Можете в ЛС мне его скинуть?

это был торрент с какого то сайта