Решена taskhostw.exe Realtek HD Audio

[FatHobbit]

Недавно заметил что я подхватил вирусняк под названием : taskhostw.exe Realtek HD Audio, я долго не мог понять что делать ибо на все попытки узнать что же делать, он просто закрывал то страници браузера, то диспетчер задач.
Знающие люди, помогите пожалуйста, я буду очень признателен.

 

[FatHobbit]

Вот, забыл

 

[Sandor]

Здравствуйте!

Вы начали с "конца"

Внимательно прочтите и выполните Правила оформления запроса о помощи

 

[FatHobbit]

Ок, я вроде далал все как написано, но вирус просто закрівает программу со сканом, что я могу ещё сделать?

 

[FatHobbit]

Логи просто не могут создаться из-за етого

 

[Sandor]

Понятно.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером (уже в нормальном режиме).

 

[FatHobbit]

Так, зараза блокирует мне вход на сайт где есть ссылка на скачивание, есть ли альтернатива?

 

[Sandor]

Залил для вас на Я.диск.

Для других пользователей, читающих эту тему:

Информация

Программа обновляется ежедневно, поэтому в ресурсах она актуальна. По приведенной ссылке обновляется редко.

 

[FatHobbit]

Вот все что есть

 

[Sandor]

Вы запустили в нормальном режиме

System booted up in Normal mode.

Запускайте в безопасном с поддержкой сети

запускайте в безопасном режиме с поддержкой сети.

 

[FatHobbit]

Нажать применить? Вопрос к тому что там разные варианты безопасного режима, какой выбрать или просто нажать применить?

 

[Sandor]

Да, минимальная подходит.

 

[FatHobbit]

Ну ето уже хоть что-то

 

[FatHobbit]

и Вируса не вижу в процесах

 

[Sandor]

Хорошо, но это не всё.

Запустите ещё раз эту же утилиту, только уже из нормального режима.
После перезагрузки прикрепите новый отчёт.

Затем запустите Автологер и соберите CollectionLog (то, что ранее у вас не получалось).

 

[FatHobbit]

Хорошо, вот

 

[FatHobbit]

и вот

 

[Sandor]

Так, хорошо. Но видны следы ещё одного майнера, будем чистить, минутку.

 

[Sandor]

Вы почему-то использовали Автологер для XP, но ладно, продолжаем.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('C:\Users\anime\AppData\Local\Programs\AdLock\7f36b577b9.msi', '');
 QuarantineFile('C:\Users\anime\AppData\Local\Programs\Transmission\transmission-qt.exe', '');
 DeleteSchedulerTask('AdLock Update Task-S-1-5-21-651843158-2739372807-1753544067-1001');
 DeleteSchedulerTask('anime');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\Users\anime\AppData\Local\Programs\AdLock\7f36b577b9.msi', '64');
 DeleteFile('C:\Users\anime\AppData\Local\Programs\Transmission\transmission-qt.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('c:\users\anime\appdata\local\programs\transmission', '*', false);
 DeleteDirectory('c:\users\anime\appdata\local\programs\transmission');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'anime', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'anime', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'anime', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'anime', 'x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[FatHobbit]

Вот отчёты