Решена Следы майнера? Нашёл в процессе чистки windows 10

[Талант]

Решил очистить систему от хлама, пустых папок и прочего мусора от удалённых программ, не сносил её с 2020. В процессе ищу в интернете что за папки и чему принадлежали и наткнулся в папке ProgramData на папки с закрытым мне доступом, а именно Avira, Indus, MB3Instal и ещё сильнее скрытый RealtekHD. Загуглив я понял, что они относятся к майнеру taskhost, но на удивление я не помню никаких симптомов закрытия сайтов с антивирусами, системных папок и увеличения нагрузки ЦП (разве что в редком случае винда и все программы могли тормозить при первом запуске, пока не сделаю перезапуск один-два раза. Это было уже давно). Я удалил уже их и продолжил чистку.
Даты тех папок я не запомнил, наверное 2021 год, каждая была пустая.
Позже я установил Kaspersky Free и сделал полный скан. Антивирус всё же нашёл taskhostы и что-то ещё, я их закрыл в карантин (скриншот приложен). Есть ли шанс, что это не вирусы?
Также я скачал и запустил AV Block remover (два раза, могут быть отличия, потому что ещё поудалял папки после первого раза).
Больше я программы из чужих решений не запускал, хочу очистить остатки с вашей помощью.

Что я почистил перед проверкой, если важно:

• Ненужные программы через IOBIT Uninstaller и немного Revo Uninstaller
• Ненужные драйвера от разных производителей через DriverStore Explorer (были asus intel, сейчас gigabyte amd. в реестре могли остаться следы)
• Пустые папки вручную в ProgramData, AppData/Local; Roaming

Какой пиратский софт у меня есть и какие я вспомнил, если важно:

• BitTorrent
• Grand Theft Auto IV by xatab (сайт gofrag ru)
• Robin Hood: The Legend of Sherwood (удалена в 2025)
• zapret-discord-youtube с гитхаба от Flowseal
• Активатор jetbra/ja-netlifier для PhpStorm
• Microsoft Office 2024 из сайта massgrave dev
• Активированный Windows через инструкции сайта massgrave dev

 

[Severnyj]

Соберите CollectionLog Автологгером.

 

[Талант]

Прикрепил. Забыл упомянуть пиратский CareUEyes.
Смогу отвечать только вечером.

 

[Severnyj]

Пофиксите в HJT (некоторые строки могут отсутствовать):

O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ - C:/Users/rtala/AppData/Local/Mail.Ru/Disk-O/CloudShell64.dll (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Drova (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Hewlett-Packard\HP Support Assistant (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HP\HP Print Scan Doctor (empty)
O22 - Tasks: koala-clash-run - C:\Users\rtala\AppData\Roaming\koala-clash\tasks\koala-clash-run.exe "C:\Program Files\Koala Clash\Koala Clash.exe" (file missing)
O22 - Tasks_Migrated: Driver Booster Scheduler - C:\Program Files (x86)\IObit\Driver Booster\9.1.0\Scheduler.exe /scheduler (file missing)
O22 - Tasks_Migrated: Driver Booster SkipUAC (rtala) - C:\Program Files (x86)\IObit\Driver Booster\9.1.0\DriverBooster.exe /skipuac (file missing)
O22 - Tasks_Migrated: Driver Booster Update - C:\Program Files (x86)\IObit\Driver Booster\9.1.0\AutoUpdate.exe /auto (file missing)
O27 - Account: (AutoLogon) HKLM\..\Winlogon: DESKTOP-V2DK0ER\rtala (type: Microsoft)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

 

[Талант]

исправил, собрал логи. касперский на паузе

 

[Severnyj]

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1460492674-3244227786-1065454455-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {564A93F3-853D-4A7A-B5AD-130291F12120} - \Microsoft\Windows\Wininet\Taskhostw -> Нет файла <==== ВНИМАНИЕ
Task: {CFDEEA2D-3FC7-4D7C-93AD-EEE06C13AD36} - \Microsoft\Windows\Wininet\Taskhost -> Нет файла <==== ВНИМАНИЕ
Task: {F46549D7-ED64-45AC-B6D5-C042A459CA4E} - System32\Tasks\NIUpdateServiceCheckTask => C:\Program Files (x86)\National Instruments\Shared\Update Service\NIUpdateService.exe  -c -task (Нет файла)
Task: {5CD08E43-189B-45D3-B540-EC65B3AC4A6C} - System32\Tasks\NIUpdateServiceStartupTask => C:\Program Files (x86)\National Instruments\Shared\Update Service\NIUpdateService.exe  -startupTask (Нет файла)
CHR HKU\S-1-5-21-1460492674-3244227786-1065454455-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CustomCLSID: HKU\S-1-5-21-1460492674-3244227786-1065454455-1001_Classes\CLSID\{4299B2BA-5F79-4F6E-ACF8-11DAB8B7E79D}\InprocServer32 -> C:/Users/rtala/AppData/Local/Mail.Ru/Disk-O/CloudShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1460492674-3244227786-1065454455-1001_Classes\CLSID\{44aED63a-ab3D-8133-A3c1-12c41F2DCb3C}\InprocServer32 -> C:/Users/rtala/AppData/Local/Mail.Ru/Disk-O/CloudShell64.dll => Нет файла
ShellIconOverlayIdentifiers: [     MailRuDiskoIconOverlay5] -> {44aED63a-ab3D-8133-A3c1-12c41F2DCb3C} => C:\Users\rtala\AppData\Local\Mail.Ru\Disk-O\CloudShell64.dll -> Нет файла
ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} =>  -> Нет файла
ContextMenuHandlers3_S-1-5-21-1460492674-3244227786-1065454455-1001: [MailRuCloudContextMenu] -> {4299B2BA-5F79-4F6E-ACF8-11DAB8B7E79D} => C:\Users\rtala\AppData\Local\Mail.Ru\Disk-O\CloudShell64.dll -> Нет файла
AlternateDataStreams: C:\desktop.ini:CachedTiles [10318]
AlternateDataStreams: C:\ProgramData\P1210DEF.css:DB0B747562 [3458]
AlternateDataStreams: C:\ProgramData\P1210OS.HTM:3C1D364A25 [3458]
AlternateDataStreams: C:\ProgramData\P1210SIG.GIF:ED5F91EA59 [4314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\WinRAR.lnk:3B2C49E569 [3458]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4314]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3558]
AlternateDataStreams: C:\Users\rtala\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\rtala\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Programdata
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\System32
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

Программы от Iobit лучше удалить, толку от них особого нет, а ресурсы используют:

Advanced SystemCare
Driver Booster 12
IObit Uninstaller 13

 

[Талант]

Программы от Iobit лучше удалить, толку от них особого нет, а ресурсы используют:

а какие альтернативы есть?
добавил лог

 

[Severnyj]

Альтернативы чему? Твикеры и автоматические ускорители до добра не доводят.

Очистка диска - С этим уже неплохо справляется системная утилита Рекомендации по очистке.

Программы нормально удаляются собственными деинсталляторами, а на форумах имеются примеры неудачных деинсталляций сторонними деинсталляторами.

Сообщите, что с проблемой?

 

[Талант]

автоматические ускорители

у меня привычка куча программ разом по работе открыть и забить оперативку, поэтому пользовался очисткой ram. ну и очистку от мусора включить заодно

Программы нормально удаляются собственными деинсталляторами

но они же иногда всё равно оставляют за собой конфиги, папки, записи в реестре и службе. например, у меня удалены MS Visual Studio 2022 и MS SQL Server стандартно и при этом их можно увидеть в логах ранее.

Сообщите, что с проблемой?

ну отличий я не вижу, потому что не было симптомов. проверил диспетчер и нашёл 2 taskhostw.exe оригинальные как я понял, расположение windows/system32.
в остальном я думаю всё в порядке, спасибо за помощь.

 

[Severnyj]

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.

 

[Талант]

сделал

 

[Severnyj]

Обновите ПО:

AMD Software v.25.8.1 Внимание! Скачать обновления
CrystalDiskInfo 9.7.0 v.9.7.0 Внимание! Скачать обновления
CrystalDiskMark 9.0.1 v.9.0.1 Внимание! Скачать обновления
Docker Desktop v.4.43.2 Внимание! Скачать обновления
GIGABYTE Control Center 26.03.26.01 v.26.03.26.01 Внимание! Скачать обновления
Git v.2.45.2 Внимание! Скачать обновления
Node.js v.20.12.2 Внимание! Скачать обновления
Figma v.126.0.4 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Hasleo Backup Suite v.5.6.2.0 Внимание! Скачать обновления
WinRAR 6.01 (64-разрядная) v.6.01.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.4.7 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.112.0 Внимание! Скачать обновления
Discord v.0.0.309 Внимание! Скачать обновления
Telegram Desktop v.6.7.8 Внимание! Скачать обновления
AnyDesk v.ad 9.0.10 Внимание! Скачать обновления Внимание! Программа удаленного доступа!
KMPlayer 64X (remove only) v.2022.8.25.13 Внимание! Скачать обновления
OBS Studio v.32.0.4 Внимание! Скачать обновления
Mozilla Firefox (x64 ru) v.147.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.148.0.7778.98 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

+++

Тема 'Рекомендации после удаления вредоносного ПО'

24 Янв 2012

1. Удалите инструменты, которые были использованы во время лечения:​

   • Как правильно удалить AVZ
   • Как правильно удалить Malwarebytes' Anti-Malware
   • Как правильно удалить AdwCleaner
   • Как правильно удалить Farbar Recovery Scan Tool

2. Создайте новую точку восстановления и удалите старые точки.​

   1. Нажмите Пуск – Программы – Стандартные – Служебные – Восстановление системы. Выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
   2. Нажмите Пуск - Программы – Стандартные –...

• Severnyj
• Ответы: 0
• Форум: Разное: Инструкции и рекомендации

• 

 

[Талант]

ок, спасибо