Решена Вирус taskhost, блок на любые действия по его ликвидации

  • Автор темы Автор темы Korut
  • Дата начала Дата начала

Korut

Новый пользователь
Сообщения
26
Реакции
4
Доброго времени суток. Есть подозрения, что вирус сидит уже давно. Компьютер последнее время стал работать тяжело. В диспетчере вечно нагрузка на память и процессор до сотки. Сегодня выскочила странная ошибка. Я к сожалению не сделал скриншот. Текст: Line 19366. C:/programdata/RealtekHD/taskhost.exe Дальше, что-то на английском. Стал читать в интернете и заподозрил вирус. А дальше настоящий цирк. Выключения браузера при попытке, что-то прочитать про него и попытке создать тему на этом форуме (делаю это с телефона). При запуске Autologger, он произвольно отключался и прекращал процесс. Удалось создать логи, только в безопасном режиме с сетью. AV_blocker не запускается никак, а в безопасном режиме с сетью, под конец сканирования выдает, что операция отменена пользователем. Прикладываю лог. В расстеряности, никогда с таким не сталкивался. Помогите, что делать?
 
Почему-то с телефона сразу не прикрепился, но в уже созданную тему смог зайти через браузер. Собственно, вот лог.
 

Вложения

Здравствуйте!

AV_blocker не запускается никак, а в безопасном режиме с сетью, под конец сканирования выдает, что операция отменена пользователем
Переименовать файл AVbr.exe пробовали? Например, в AV-b-r.exe и запускайте из безопасного режима с поддержкой сети переименованный.
 
Добрый день. Удалось. Не понял точно в чем была причина вчерашнего провала. Скорее всего на панике, я просто не до конца точно следовал инструкции. Сегодня скачал заново, но уже не со случайным именем. Как бы-то ни было, AVbr был переименован в A-Vb-r и выполнил задачу в безопасном режиме. В других обсуждениях я видел вы просили после окончания работы программы и перезапуска сделать пересборку AutoLogger-ом. На всякий случай сделал. Прикладываю оба файла.
 

Вложения

На всякий случай сделал
Спасибо, это правильно.
AVbr отработал хорошо, но продолжим:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\system32\unsecapp.exe');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('c:\windows\system32\unsecapp.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('c:\windows\system32\unsecapp.exe', '');
 DeleteFile('C:\Windows\System32\unsecapp.exe', '64');
 DeleteService('Microsoft Framework');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2813115735-3278884791-2645067304-1001\...\MountPoints2: {5e698193-98c1-11ed-bffe-80913326f0f4} - "D:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2813115735-3278884791-2645067304-1001\...\MountPoints2: {5e698202-98c1-11ed-bffe-80913326f0f4} - "D:\HonorSuiteOnlineInstaller.exe" 
    HKU\S-1-5-21-2813115735-3278884791-2645067304-1001\...\MountPoints2: {e11d9d1d-bbbd-11ec-bfd8-80913326f0f4} - "J:\HiSuiteDownLoader.exe" 
    Task: {52455900-A7DF-4D9E-BD84-A812D086C2C6} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {9382F788-7B5C-44E0-AA5F-40B061EAAF8B} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Хорошо. Проблема решена?
 
Предполагаю, что да. Выключения браузера больше не наблюдались, при поиске запросов типа: "Лечение вирусов" и заходе на ваш форум. В диспетчере задач нагрузка на ЦП и "Диск" не повышается выше 10%, в основном оставаясь в районе 3-5%, а также перестал шуметь Винчестер. Раньше он издавал треск, как при сильной нагрузке.
 
И это хорошо :)

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Примите мою огромную, искреннюю благодарность. Спасибо за великодушную отзывчивость, оперативность и профессионализм.
 
Рады были помочь :)

Обратите внимание:
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50907.0 Данная программа больше не поддерживается разработчиком.
Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.50 (32-разрядная) v.5.50.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Paint.NET v3.5.11 v.3.61.0 Внимание! Скачать обновления
FastStone Image Viewer 7.6 v.7.6 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9004 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46590 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 152 (64-bit) v.8.0.1520.16 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-x64.exe - Windows Offline (64-bit))^
Java 8 Update 152 v.8.0.1520.16 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-i586.exe - Windows Offline)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX v.32.0.0.371 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Shockwave Player + Authorware Web Player v.v12.3.1.201 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Перечисленное по возможности следует исправить.

Читайте Рекомендации после удаления вредоносного ПО
 
Понял, займусь. Еще раз спасибо.
 
Назад
Сверху Снизу