Решена Вирус (возможно taskhostw.exe)

Статус
В этой теме нельзя размещать новые ответы.
И

Илюха

Новый пользователь
Сообщения
18
Реакции
1
Доброго времени суток. Проблему заметил давно, но не предал особого значение. Открывалась консоль буквально на 3 секунды (с начало только когда включал пк, а потом и в играх открывалась). И решил скачать AV block remover, и вот что вышло.
ON9pJAr1Tzg.webp


А решил скачать из-за вылета Discord. После вылета начал подвисать и когда запускал экран просто выводил чёрный экран на 3-6 секунд, а потом вновь возвращал и повторилось это где-то 3-4 раза (так при двух первых включениях приложения вылетало). При запуску AV block remover антивирус (от windows) заметил вирусы.
Уже пользовался раньше Av block remover ( как раз при первом появление консоли), программа удалила неизвестного пользователя (вроде John). При первом обнаружение открывающейся консоли были такие симптомы: Закрывались сайты с антивирусом, не открывались антивирусы, а так же добавлялись в исключение файлы вирусов. Но я удалял вирус realtekHD (не уверен что вообще удалил его, но после я мог заходить на сайты), это все что я помню. На сайте я впервые создаю тему.
 

Вложения

места на системном диске маловато.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Логи от AV block remover тоже приложите.
 
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
MediaGet
Нажмите для раскрытия...

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт):

Код: 
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\XimiK\AppData\Local\Programs\Ghostery\a4fb656289.msi', '');
 QuarantineFile('C:\Users\XimiK\AppData\Local\Programs\Transmission\transmission-qt.exe', '');
 DeleteSchedulerTask('Ghostery Update Task-S-1-5-21-1551779992-3526966482-4132144260-1001');
 DeleteFile('C:\Users\XimiK\AppData\Local\Programs\Ghostery\a4fb656289.msi', '64');
 DeleteFile('C:\Users\XimiK\AppData\Local\Programs\Transmission\transmission-qt.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('c:\users\ximik\appdata\local\programs\transmission', '*', false);
 DeleteDirectory('c:\users\ximik\appdata\local\programs\transmission');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(19);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Удалите старые и соберите новые логи FRST.txt и Addition.txt
 
Деинсталлируйте также бесполезный SpyHunter 5

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-1551779992-3526966482-4132144260-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [igmnjkjaodfkcomgeicohpdnfhccnjjn]
CHR HKU\S-1-5-21-1551779992-3526966482-4132144260-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKLM-x32\...\Chrome\Extension: [mlomiejdfkolichcflejclcbmpeaniij]
Ghostery - Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-1551779992-3526966482-4132144260-1001\...\{3bbe2649-4b07-4bde-b35e-9e3ea78adf9a}) (Version: 1.0.0.0 - Ghostery) Hidden
AlternateDataStreams: C:\Users\XimiK:Heroes & Generals [38]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log:F107EE40EF [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log_backup1:2DD1EC5C91 [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer10.log:CCC93B07B0 [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer10.log_backup1:AD433BF298 [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer11.log:72C8986B20 [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer11.log_backup1:97A90964FA [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer12.log:C40F6B9209 [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer12.log_backup1:7CC29836A6 [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer13.log:AE3C879266 [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer13.log_backup1:AF8AA3CDC1 [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer14.log:DE1448F4D7 [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer14.log_backup1:D61270D3FD [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer15.log:16B67B15CB [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer15.log_backup1:1F4CC1D50C [2594]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer16.log_backup1:E86CB8880A [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\ALZip.lnk:21DD3B0F5A [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2020.lnk:1A5FAF1E4E [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CSS v34 Russian.lnk:D9C858CA45 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cоunter-Strike 1.6.lnk:6DD61C93C3 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NEXTRP Launcher.lnk:417D7E0127 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [2594]
AlternateDataStreams: C:\Users\XimiK\Application Data:NT [40]
AlternateDataStreams: C:\Users\XimiK\Application Data:NT2 [644]
AlternateDataStreams: C:\Users\XimiK\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\XimiK\AppData\Roaming:NT2 [644]
HKU\S-1-5-21-1551779992-3526966482-4132144260-1001\...\StartupApproved\Run: => "MediaGet2"
FirewallRules: [{66826877-7054-49A5-9C72-B7BEAD222E55}] => (Allow) LPort=3001
FirewallRules: [{FF942F2E-D419-4A88-919D-82E16F46602A}] => (Allow) LPort=3000
startbatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
endbatch:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Ghostery - Privacy Ad Blocker 1.0.0.0
удалить не получилось, выше упомянутом способом
 

Вложения

Хорошо, что сейчас с проблемой?
 
Щас попробую проверить. Отпишусь как проверю
 
Запустил AV block remove, первое сканирование прошло вроде без проблем, а второе тоже самая ошибка (что содержит вирус или нежелательную программу).Консоль пока что не было. И виснуть перестало. Вот логи этого сканирования.
 

Вложения

Вы напрасно для контроля запускаете AVbr. Эта утилита нацелена на лечение и удаление последствий одного конкретного майнера. У вас же совсем другое заражение было.

Можем дополнительно так проверить:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу