Перейти к содержанию

[РЕШЕНО] Заразил систему кучей вирусов и майнером Taskhostw.exe


Рекомендуемые сообщения

Здравствуйте! Имеется такая проблема: после установки ПО подхватил вирусы и майнер. 
Что бы попытаться решить эту проблему, пробовал самостоятельно методы по их удалению с помощью просмотра советов в Интернете. 
Например при запуске ПК, у меня сразу же отображались командная строка и Windows PowerShell на пару секунд, исходя из которых они делали внедрение своих вредоносных команд в мою систему.
Изучая это всю ночь, мне таки удалось удалить в пути C:\ProgramData\ папки с вредоносным содержимым (Папка Setup, папка RealtekHD, папка WindowsTask и папка Windows Tasks Service).
и теперь, после запуска системы, диспетчер задач больше не закрывается автоматически, блокнот с файлом hosts и сама папка ProgramData, но я всё равно заметил, что возможно какие-то команды при запуске Windows всё ещё включаются (но появляется теперь только командная строка). 
Увидел похожее обращение на вашем сайте и решил так же воспользоваться такой возможностью.
Прикрепил логи результатов из программы AV_block_remover
Заранее спасибо!

AV_block_remove_2024.05.20-09.23.log

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_mihoyo_1_0] => [X]
HKLM-x32\...\Run: [Star Rail_launcher_hoyoverse_PC_1_1] => [X]
HKLM-x32\...\Run: [Star Rail_launcher__1_1] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {CA99154B-DD4B-4118-BD99-A80D49CDA24D} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /c (Нет файла)
Task: {0F330EB7-EE02-4EBD-97EA-06DEA07B5C40} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /ua /installsource scheduler (Нет файла)
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=3 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=9 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
S2 TunMirror; "C:\ProgramData\KMSAuto\bin\TunMirror2.exe" [X]
AlternateDataStreams: C:\Users\sasha\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Напишите о текущих проблемах.

Ссылка на комментарий
Поделиться на другие сайты

17 минут назад, safety сказал:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 



Start::
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_mihoyo_1_0] => [X]
HKLM-x32\...\Run: [Star Rail_launcher_hoyoverse_PC_1_1] => [X]
HKLM-x32\...\Run: [Star Rail_launcher__1_1] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {CA99154B-DD4B-4118-BD99-A80D49CDA24D} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /c (Нет файла)
Task: {0F330EB7-EE02-4EBD-97EA-06DEA07B5C40} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /ua /installsource scheduler (Нет файла)
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=3 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=9 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
S2 TunMirror; "C:\ProgramData\KMSAuto\bin\TunMirror2.exe" [X]
AlternateDataStreams: C:\Users\sasha\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Напишите о текущих проблемах.

Кажется теперь всё в порядке, после запуска системы командная строка больше не появлялась, что по сути и требовалось.
Диспетчер задач и проводник, в определённых папках, указанных выше, тоже работают нормально, самих проблемных файлов больше не обнаружил.

Fixlog_20-05-2024 13.40.13.txt

Изменено пользователем Sashok103
Ссылка на комментарий
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, safety сказал:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

 

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

По возможности, обновите данное ПО:

 

Sandboxie-Plus v1.12.9 v.1.12.9 Внимание! Скачать обновления

AMD Software v.24.3.1 Внимание! Скачать обновления
TeamViewer v.15.52.3 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.79.2 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления

Discord v.1.0.9040 Внимание! Скачать обновления
Zoom v.5.17.11 (34827) Внимание! Скачать обновления
Telegram Desktop v.4.9.8 Внимание! Скачать обновления

SoftEther VPN Client v.4.41.9787 Внимание! Скачать обновления

Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^

Spotify v.1.2.3.1115.gd61a8f5c Внимание! Скачать обновления
AIMP v.5.11.2436 Внимание! Скачать обновления

 

Google Chrome v.124.0.6367.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 109.0.5097.80 v.109.0.5097.80 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

 

CCleaner v.6.12 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

Razer Cortex v.10.13.12.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, safety сказал:

По возможности, обновите данное ПО:

 

Sandboxie-Plus v1.12.9 v.1.12.9 Внимание! Скачать обновления

AMD Software v.24.3.1 Внимание! Скачать обновления
TeamViewer v.15.52.3 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.79.2 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления

Discord v.1.0.9040 Внимание! Скачать обновления
Zoom v.5.17.11 (34827) Внимание! Скачать обновления
Telegram Desktop v.4.9.8 Внимание! Скачать обновления

SoftEther VPN Client v.4.41.9787 Внимание! Скачать обновления

Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^

Spotify v.1.2.3.1115.gd61a8f5c Внимание! Скачать обновления
AIMP v.5.11.2436 Внимание! Скачать обновления

 

Google Chrome v.124.0.6367.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 109.0.5097.80 v.109.0.5097.80 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

 

CCleaner v.6.12 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

Razer Cortex v.10.13.12.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Хорошо, я постараюсь обновить ПО в ближайшее время, а Ccleaner и Razer буду использовать с осторожностью. Благодарю за помощь!

Ссылка на комментарий
Поделиться на другие сайты

В завершении:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • kudyukovn
      От kudyukovn
      Добрый день, помогите пожалуйста. Словил майнер. Сначала проверил касперским, он его нашел но удалить не смог, после перезагрузки пк вообще перестал видеть его. После переустановки windows 11 майнер остался, на сайты с антивирусами не заходит, а касперский не находит, defender перестал работать.
      Так же до этого комп не включался сутки, горел CPU на материнке. Но сегодня каким то чудом включился.
      Прикрепляю файлы архив от автологера
      CollectionLog-2024.10.14-14.33.zip
      https://imgur.com/a/0O2BObP
      Это отчёт от KVRT
    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Golem555
      От Golem555
      Здравствуйте!
      На моем компьютере обнаружено подозрительное ПО, предположительно майнер. Наблюдаю следующие симптомы на скриншоте это в спокойном режиме:

      Попробовал проверку Антивируса Malwarebytes, HitmanPro, не помогает. Пробовал переустанавливать винду, не помогает  
      Уже и не знаю что делать, ещё добавление: вирус маскируется под активные программы 
       
    • SDDdo
      От SDDdo
      Здравствуйте. 20.09.2024 был скачал microsoft office, но вместо установки, я получил вирус. Уже использовал и Malwarebytes, и kaspersky virus removal tool, и rkill, но проблема все еще присутствует. Замечаю я это по наличию то появляющегося, то исчезающего процесса в диспетчере задач под названием "autoit v3 script". Также не могу сделать скриншот диспетчера задач и редактора реестра. Редактор реестра закрывается практически сразу после открытия.
      Помимо логов прикрепляю файлы полученные с помощью Farbar Recovery Scan Tool 
      CollectionLog-2024.09.21-14.47.zip Addition.txt FRST.txt
    • thealebs
      От thealebs
      Доброго дня.
      Заметил определенную странность на ноуте-не одно из приложений не устанавливается по причине отсутствия прав администратора.
      Позже увидел в учетках еще одну запись -Jonh. в интернете нашел, что это майнер.
      скачал dr web, вроде как очистил всё, но проблема сохранилась+также учетная запись jonh не удалена.
×
×
  • Создать...