Перейти к содержанию

Вирус MicrosoftHost.exe


Rybaman

Рекомендуемые сообщения

Здравствуйте всем

Вместе с установкой игры поставил вирус. Из симптомов: нагружается ЦП, вентилятор ревёт, когда открываешь диспетчер задач процесс вируса завершается, не заходит на сайты антивирусов, закрывает папки, не разрешает показывать скрытые файлы и папки, закрывает диспетчер и антивиры. 

Была маленькая задержка в диспетчере и я увидел название процесса - microsofthost. 

Что сделал : через Cureit удалил exe.шник, через реестр настроил вид скрытых папок и файлов, через unlocker удалил скрытую папку где был microsofthost.exe, удалил все папки с названиями антивиров созданными одним числом с microsoft.exe.

После этого процесс не запускается даже после перезагрузки, но нет доступа к сайтам антивиров, браузер так же закрывается от запросов про вирус, антивиры не работают и т.п.

Через безопасный режим выгрузил логи.

Помогите плиз)

 

CollectionLog-2022.08.09-10.38.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Ссылка на комментарий
Поделиться на другие сайты

Хорошо.

 

Через Панель управления - Удаление программ удалите устаревшие и прекратившие поддержку

Цитата

 

Adobe Flash Player 32 ActiveX

Adobe Flash Player 32 NPAPI

 

 

и нежелательные

Цитата

 

Delta Chrome Toolbar

Delta toolbar

Driver Booster 7

Driver Genius Pro 11.0.0.1128

Unity Web Player

VKSaver

Кнопка "Яндекс" на панели задач

 

 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-179302724-2135772560-703222089-1000\...\MountPoints2: {006786e0-6d8c-11e3-9880-4c72b9acb6fc} - I:\AcerCloudSetup.exe
    HKU\S-1-5-21-179302724-2135772560-703222089-1000\...\MountPoints2: {3c5092d4-28e2-11e3-8cd6-4c72b9acb6fc} - I:\AutoRun.exe
    HKU\S-1-5-21-179302724-2135772560-703222089-1000\...\MountPoints2: {41754e3b-0932-11e5-bcd0-4c72b9acb6fc} - I:\AutoRun.exe
    HKU\S-1-5-21-179302724-2135772560-703222089-1000\...\MountPoints2: {41754e41-0932-11e5-bcd0-4c72b9acb6fc} - I:\AutoRun.exe
    HKU\S-1-5-21-179302724-2135772560-703222089-1000\...\MountPoints2: {8582731a-7caf-11e2-81c5-4c72b9acb6fc} - F:\Setup.exe
    HKU\S-1-5-21-179302724-2135772560-703222089-1000\...\MountPoints2: {95a5d1e5-37fa-11e8-91df-a3f8503ad262} - I:\setup.exe
    HKU\S-1-5-21-179302724-2135772560-703222089-1000\...\MountPoints2: {a659ecce-6375-11e4-bba5-4c72b9acb6fc} - I:\Lenovo_Suite.exe
    HKU\S-1-5-21-179302724-2135772560-703222089-1000\...\MountPoints2: {b2b97310-2b9c-11e4-ba4c-4c72b9acb6fc} - I:\AutoRun.exe
    HKU\S-1-5-21-179302724-2135772560-703222089-1000\...\MountPoints2: {d2ba8d9f-86d7-11e5-9957-4c72b9acb6fc} - I:\setup.exe
    HKU\S-1-5-21-179302724-2135772560-703222089-1000\...\MountPoints2: {d2ba8db9-86d7-11e5-9957-4c72b9acb6fc} - I:\setup.exe
    HKU\S-1-5-21-179302724-2135772560-703222089-1000\...\MountPoints2: {d2ba8dcb-86d7-11e5-9957-4c72b9acb6fc} - I:\setup.exe
    HKU\S-1-5-21-179302724-2135772560-703222089-1000\...\MountPoints2: {ea4daad1-0689-11e8-8b46-dc85de6cfc03} - I:\AutoRun.exe
    HKU\S-1-5-21-179302724-2135772560-703222089-1000\...\MountPoints2: {ea4daaeb-0689-11e8-8b46-dc85de6cfc03} - I:\AutoRun.exe
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {26352FC3-2725-4736-A504-A8FED649E891} - System32\Tasks\Sump Task (One-Time) => D:\бустер\Driver Booster\7.1.0\sump.exe /sup2 (Нет файла)
    Task: {2EBC8424-8797-4D20-87AB-F47A9D3E68D2} - System32\Tasks\{825D9EA9-5F6F-4614-805F-297844553987} => D:\GAmes\Grand Theft Auto IV\LaunchGTAIV.exe (Нет файла)
    Task: {40EC3C29-A96B-439D-B901-62F57B0AF5E2} - System32\Tasks\Christmas Task (One-Time) => D:\бустер\Driver Booster\7.1.0\xmas.exe /xr (Нет файла)
    Task: {501209F3-80EC-46A5-B261-93C256FD0F6E} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {B75D0243-9DBE-4F7F-9FE1-CE838899E811} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {E75C6AF0-7117-4622-B7E5-44B3A98D8844} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {FF1EC7A2-6CB9-4320-9F9C-543B25B9A303} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    FF user.js: detected! => C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\93eccnsf.default\user.js [2013-05-17]
    CHR HKLM-x32\...\Chrome\Extension: [fmfnfnpmhcllokmkepffndflpnadjmma] - C:\Program Files (x86)\DealPly\DealPly.crx <не найдено>
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [422]
    AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [116]
    AlternateDataStreams: C:\Users\User\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
    BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
    BHO-x32: Нет имени -> {EF7BD87A-8024-11E2-F316-F3E56188709B} -> Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Хорошо. В завершение и на будущее:

 

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • civiero
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Mr. Denp
      От Mr. Denp
      Добрый день!
       
      Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.
      Процесс лечения заканчивается следующей ошибкой:

       
      Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.
      И так по кругу. 
      Вирус находится в системной памяти.
       
      Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.
       
      Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?
      Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.
       
      Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.
       
      Заранее благодарен!
       
    • SiGiDi
      От SiGiDi
      Вчера установил файл, после его распаковки вылез экран смерти и после череп который моргает красно белым цветом, что мне делать

×
×
  • Создать...