Здравствуйте, как дитё словил майнер, не в первый раз уже, ну потому что дурак видимо, в общем и целом, пробежался Process Hacker-ом, смог остановить работу неприятеля и вроде бы всё идёт нормально, но как говорится душа по прежнему ноет обратиться к Вам за помощью, в общем и целом прошу помощи "добить" остатки нашего любимого "Джона" из системы раз и навсегда! Прикрепил вроде как все "нужные" файлы, если что-то не так, маякните пожалуйста.
Решена Словил майнер taskhostw
- Автор темы RMX052
- Дата начала
-
- Теги
- taskhost.exe майнер
- Сообщения
- 25,068
- Решения
- 5
- Реакции
- 13,708
Проверьте работу установленных антивирусов.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: Hosts: HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe <==== ВНИМАНИЕ C:\ProgramData\ReaItekHD\taskhostw.exe C:\Programdata\ReaItekHD\taskhost.exe C:\ProgramData\Windows Tasks Service\winserv.exe HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-306874285-3316665834-1601860253-1002\...\Run: [GalaxyClient] => [X] GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {220C33EF-53A2-4BD9-8EB4-029E9A1A8548} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe <==== ВНИМАНИЕ Task: {280A264D-4167-4AD5-A74B-267B16030B6D} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe <==== ВНИМАНИЕ Task: {7F093CF2-C188-4C6D-BD85-A4D320FFDD6F} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe <==== ВНИМАНИЕ Task: {85DADB32-A0D2-4401-B020-A497B5DB3ABF} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe <==== ВНИМАНИЕ Task: {5AD732A8-20D4-4B8A-924D-C646D685BB79} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] Task: {D241DF5F-F3B2-4BBA-A7C1-8D75B91385B1} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ U2 Microsoft Framework; C:\Windows\System32\unsecapp.exe [3645456 2022-08-20] (Microsoft Corporation) [Файл не подписан] C:\Windows\System32\unsecapp.exe 2023-04-22 20:27 - 2023-04-22 20:27 - 000000000 __SHD C:\Program Files (x86)\Transmission 2023-04-22 20:27 - 2023-04-22 20:27 - 000000000 __SHD C:\Program Files (x86)\Panda Security 2023-04-22 20:27 - 2023-04-22 20:27 - 000000000 ____D C:\Program Files (x86)\IObit 2023-04-22 20:26 - 2023-04-22 20:27 - 000000000 __SHD C:\ProgramData\WindowsTask 2023-04-22 20:26 - 2023-04-22 20:26 - 000000258 __RSH C:\ProgramData\ntuser.pol 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\ВИРУСНЯК 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\Windows Tasks Service 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\WavePad 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\RunDLL 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\RobotDemo 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\PuzzleMedia 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\Norton 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\McAfee 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\MB3Install 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\Kaspersky Lab 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\Install 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\grizzly 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\FingerPrint 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\Evernote 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\ESET 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\BookManager 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\ProgramData\AVAST Software 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\SpyHunter 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\Ravantivirus 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\Rainmeter 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\Process Lasso 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\Kaspersky Lab 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\ESET 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\Enigma Software Group 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\DrWeb 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\COMODO 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\Common Files\McAfee 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\Common Files\AV 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\Cezurity 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\ByteFence 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\Bitdefender Agent 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\AVG 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\AVAST Software 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files\7-Zip 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files (x86)\SpyHunter 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files (x86)\Cezurity 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files (x86)\AVG 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\Program Files (x86)\AVAST Software 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 __SHD C:\KVRT2020_Data 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 ___HD C:\Program Files\RDP Wrapper 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 ____D C:\WINDOWS\speechstracing 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 ____D C:\ProgramData\System32 2023-04-22 20:26 - 2023-04-22 20:26 - 000000000 ____D C:\ProgramData\Avira 2023-04-22 20:25 - 2023-04-22 20:27 - 000000000 __SHD C:\ProgramData\Setup John (S-1-5-21-306874285-3316665834-1601860253-1013 - Administrator - Enabled) AlternateDataStreams: C:\Властелин Колец Тени Ангмара:err [1400] AlternateDataStreams: C:\WINDOWS\System32:tdsrinu.gfc [5882] AlternateDataStreams: C:\WINDOWS\tracing:? [16] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3296] AlternateDataStreams: C:\Users\USMGMII\AppData\Local\Microsoft:ISBD [66] AlternateDataStreams: C:\Users\USMGMII\AppData\Local\Microsoft:ISBD1 [134] AlternateDataStreams: C:\Users\USMGMII\AppData\Local\Microsoft:ISBD2 [33] FirewallRules: [{CC3C53D2-24E9-4BE1-9D0B-76127305C200}] => (Block) LPort=445 FirewallRules: [{9ED629CF-F798-46E7-B4FD-AE273CD88EC8}] => (Block) LPort=445 FirewallRules: [{7906731D-82DB-4F86-AA9B-FBE4F358DBF5}] => (Block) LPort=139 FirewallRules: [{98B652A4-B864-4A8A-87DB-B0E6892721AF}] => (Block) LPort=139 EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 25,068
- Решения
- 5
- Реакции
- 13,708
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
проверяйте работу системы.
Код:
begin
DeleteFileMask('C:\Program Files\rdp wrapper', '*.*', true);
DeleteDirectory('C:\Program Files\rdp wrapper');
RebootWindows(false);
end.Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
- Запустите AVZ.
- Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
- В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
- Закачайте полученный архив, как описано на этой странице.
- Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.
проверяйте работу системы.
- Сообщения
- 25,068
- Решения
- 5
- Реакции
- 13,708
Тогда завершаем.
Подготовьте лог лог SecurityCheck by glax24
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
Подготовьте лог лог SecurityCheck by glax24
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
- Сообщения
- 25,068
- Решения
- 5
- Реакции
- 13,708
Исправьте по возможности и удачи.
------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 301 (64-bit) v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
Spotify v.1.1.78.765.g5ea20b00 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.32.0.0.144 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Opera Stable 97.0.4719.83 v.97.0.4719.83 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 301 (64-bit) v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
Spotify v.1.1.78.765.g5ea20b00 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.32.0.0.144 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Opera Stable 97.0.4719.83 v.97.0.4719.83 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Похожие темы
- Закрыта
