Решена Вирус (возможно taskhostw.exe)

[Илюха]

Доброго времени суток. Проблему заметил давно, но не предал особого значение. Открывалась консоль буквально на 3 секунды (с начало только когда включал пк, а потом и в играх открывалась). И решил скачать AV block remover, и вот что вышло.

А решил скачать из-за вылета Discord. После вылета начал подвисать и когда запускал экран просто выводил чёрный экран на 3-6 секунд, а потом вновь возвращал и повторилось это где-то 3-4 раза (так при двух первых включениях приложения вылетало). При запуску AV block remover антивирус (от windows) заметил вирусы.
Уже пользовался раньше Av block remover ( как раз при первом появление консоли), программа удалила неизвестного пользователя (вроде John). При первом обнаружение открывающейся консоли были такие симптомы: Закрывались сайты с антивирусом, не открывались антивирусы, а так же добавлялись в исключение файлы вирусов. Но я удалял вирус realtekHD (не уверен что вообще удалил его, но после я мог заходить на сайты), это все что я помню. На сайте я впервые создаю тему.

 

[akok]

места на системном диске маловато.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[regist]

Логи от AV block remover тоже приложите.

 

[Илюха]

Вот

 

[Илюха]

вот старые логи от AV block remover

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

MediaGet

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\XimiK\AppData\Local\Programs\Ghostery\a4fb656289.msi', '');
 QuarantineFile('C:\Users\XimiK\AppData\Local\Programs\Transmission\transmission-qt.exe', '');
 DeleteSchedulerTask('Ghostery Update Task-S-1-5-21-1551779992-3526966482-4132144260-1001');
 DeleteFile('C:\Users\XimiK\AppData\Local\Programs\Ghostery\a4fb656289.msi', '64');
 DeleteFile('C:\Users\XimiK\AppData\Local\Programs\Transmission\transmission-qt.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('c:\users\ximik\appdata\local\programs\transmission', '*', false);
 DeleteDirectory('c:\users\ximik\appdata\local\programs\transmission');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(19);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[Sandor]

AVZ искать не нужно, она находится у вас здесь:

C:\Users\XimiK\Desktop\аыв\AutoLogger\AutoLogger\AV\av_z.exe

 

[Илюха]

AVZ искать не нужно, она находится у вас здесь:

спасибо

 

[Илюха]

Новые логи

 

[Sandor]

Деинсталлируйте также бесполезный SpyHunter 5

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-1551779992-3526966482-4132144260-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [igmnjkjaodfkcomgeicohpdnfhccnjjn]
  CHR HKU\S-1-5-21-1551779992-3526966482-4132144260-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  CHR HKLM-x32\...\Chrome\Extension: [mlomiejdfkolichcflejclcbmpeaniij]
  Ghostery - Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-1551779992-3526966482-4132144260-1001\...\{3bbe2649-4b07-4bde-b35e-9e3ea78adf9a}) (Version: 1.0.0.0 - Ghostery) Hidden
  AlternateDataStreams: C:\Users\XimiK:Heroes & Generals [38]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log:F107EE40EF [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log_backup1:2DD1EC5C91 [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer10.log:CCC93B07B0 [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer10.log_backup1:AD433BF298 [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer11.log:72C8986B20 [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer11.log_backup1:97A90964FA [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer12.log:C40F6B9209 [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer12.log_backup1:7CC29836A6 [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer13.log:AE3C879266 [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer13.log_backup1:AF8AA3CDC1 [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer14.log:DE1448F4D7 [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer14.log_backup1:D61270D3FD [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer15.log:16B67B15CB [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer15.log_backup1:1F4CC1D50C [2594]
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer16.log_backup1:E86CB8880A [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\ALZip.lnk:21DD3B0F5A [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2020.lnk:1A5FAF1E4E [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CSS v34 Russian.lnk:D9C858CA45 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cоunter-Strike 1.6.lnk:6DD61C93C3 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NEXTRP Launcher.lnk:417D7E0127 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [2594]
  AlternateDataStreams: C:\Users\XimiK\Application Data:NT [40]
  AlternateDataStreams: C:\Users\XimiK\Application Data:NT2 [644]
  AlternateDataStreams: C:\Users\XimiK\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\XimiK\AppData\Roaming:NT2 [644]
  HKU\S-1-5-21-1551779992-3526966482-4132144260-1001\...\StartupApproved\Run: => "MediaGet2"
  FirewallRules: [{66826877-7054-49A5-9C72-B7BEAD222E55}] => (Allow) LPort=3001
  FirewallRules: [{FF942F2E-D419-4A88-919D-82E16F46602A}] => (Allow) LPort=3000
  startbatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
  endbatch:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Sandor]

В перечне установленных программ появится скрытая ранее

Ghostery - Privacy Ad Blocker 1.0.0.0

Удалите.

 

[Илюха]

Ghostery - Privacy Ad Blocker 1.0.0.0
удалить не получилось, выше упомянутом способом

 

[Sandor]

Не нужно было дважды выполнять скрипт, отчёт перезаписался.

удалить не получилось

Удалите принудительно через Geek Uninstaller

 

[Илюха]

Удалил Ghostery - Privacy Ad Blocker 1.0.0.0

 

[Sandor]

Хорошо, что сейчас с проблемой?

 

[Илюха]

Не нужно было дважды выполнять скрипт, отчёт перезаписался.

Я забыл запустить FRST64.exe
от имени администрации.

 

[Илюха]

Щас попробую проверить. Отпишусь как проверю

 

[Sandor]

Открывалась консоль буквально на 3 секунды (с начало только когда включал пк, а потом и в играх открывалась)

Это ещё продолжается?

 

[Илюха]

Запустил AV block remove, первое сканирование прошло вроде без проблем, а второе тоже самая ошибка (что содержит вирус или нежелательную программу).Консоль пока что не было. И виснуть перестало. Вот логи этого сканирования.

 

[Sandor]

Вы напрасно для контроля запускаете AVbr. Эта утилита нацелена на лечение и удаление последствий одного конкретного майнера. У вас же совсем другое заражение было.

Можем дополнительно так проверить:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.