Решена taskhost.sv

[quasar]

2 раз на те же грабли,самым глупым способом,таск хост грузит цп 100,пытаясь собрать логи автологером не в безопасном режиме,не дает ничего сделать,в безопасном же режиме он выполняет проверку,сохраняет лог,но предложения по удаления пользователья и подобного нет,фрст так же не запускаеться ни в безопасно,ни в обычном режиме,закрывает вкладки без безопасного режима с различными программами по удалению его,помогите....

 

[akok]

Автологер не удалят пользователя, он только собирает лог. Раз сохраняет CollectionLog, то давайте его посмотрим.

 

[quasar]

вот собранный в безопасном режиме

 

[Sandor]

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером. Пробуйте из нормального режима.

 

[quasar]

вот лог, таскхост пропал с процессов,но он есть даже в папке с авбр,и в безопасности виндовс ужас,куча угроз

 

[akok]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sandor]

он есть даже в папке с авбр

Это как раз не страшно

 

[quasar]

вот

 

[quasar]

Это как раз не страшно

меня радует ваш позитив,спасибо большое за помощь уже в какой раз,лучший сайт по удалению ерунды с компа и не только)))

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Driver Booster 11

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  IFEO\software_reporter_tool.exe: [Debugger] %windir%\System32\taskkill.exe
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {F9F980C4-2F4A-4904-BA16-386C6005FC1C} - System32\Tasks\Driver Booster Scheduler => D:\Driver Booster\11.2.0\Scheduler.exe [160744 2023-11-09] (IObit CO., LTD -> IObit)
  Task: {CFE82B1E-A6BE-4D91-AFFC-9122145BE109} - System32\Tasks\Driver Booster SkipUAC (dhshs) => D:\Driver Booster\11.2.0\DriverBooster.exe [9045480 2023-12-19] (IObit CO., LTD -> IObit)
  Task: {E7E3897D-3A35-491E-84D9-CE98CA7C0EDD} - System32\Tasks\Driver Booster Update => D:\Driver Booster\11.2.0\AutoUpdate.exe [2524648 2023-11-09] (IObit CO., LTD -> IObit)
  2024-01-30 20:49 - 2024-01-30 20:49 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
  Unlock:C:\Users\dhshs\OneDrive\Рабочий стол\AV_block_remover
  Unlock:C:\Users\dhshs\OneDrive\Рабочий стол\AutoLogger
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [2594]
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[quasar]

а можно ссылку на geek uninstaler?

 

[Sandor]

Пожалуйста - Geek Uninstaller

Ещё один скрипт выполните:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\Windows Tasks Service\winserv.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[quasar]

вот,драйвер бустер принудительно удалил

 

[Sandor]

Хорошо. Лишние исключения Защитника тоже удалены.
Проблема решена?

 

[quasar]

в целом да,только в безопасности виндовс осталось куча угроз с одним названием-HackTool:Win32/AutoKMS,это не страшно? больше никаких признаков таскхоста нет,

 

[Sandor]

Тут вижу два пути:
1. Удаляете все пиратские инструменты (кряки, активаторы и пр.) и пользуетесь только лицензионным ПО.
2. Вы об этом знаете и следите, чтоб не появилось других угроз.

 

[Sandor]

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[quasar]

я могу следить за кмс авто,но проблемма в том что его нет на пк и он был удален,но угрозы остались

 

[Sandor]

Вот в чём дело, значит я не так понял.

Выполните такой скрипт:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  StartPowershell:
  Set-MpPreference -DisableAutoExclusions $true -Force
  Set-MpPreference -Mapsreporting basic -Force
  Set-MpPreference -DisableRealtimeMonitoring $false -Force
  Set-MpPreference -DisablePrivacyMode $true -Force
  Set-MpPreference -DisableIOAVProtection $false -Force
  Set-MpPreference -UILockdown 0
  Set-MpPreference -ScanPurgeItemsAfterDelay 1
  Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
  Set-MpPreference -PUAProtection enabled -Force
  Update-MpSignature
  Get-MpComputerStatus
  Get-MpPreference
  EndPowershell:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст новый лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Срок очистки старых записей сократится до одного дня. Завтра проверите и сообщите.

 

[quasar]

хорошо, завтра сообщу, спасибо большое вам