Перейти к содержанию
Правила раздела

[РЕШЕНО] Заразил систему кучей вирусов и майнером Taskhostw.exe

Sashok103

Автор Sashok103,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

Sashok103

Sashok103 0

Опубликовано
Опубликовано

Здравствуйте! Имеется такая проблема: после установки ПО подхватил вирусы и майнер. 
Что бы попытаться решить эту проблему, пробовал самостоятельно методы по их удалению с помощью просмотра советов в Интернете. 
Например при запуске ПК, у меня сразу же отображались командная строка и Windows PowerShell на пару секунд, исходя из которых они делали внедрение своих вредоносных команд в мою систему.
Изучая это всю ночь, мне таки удалось удалить в пути C:\ProgramData\ папки с вредоносным содержимым (Папка Setup, папка RealtekHD, папка WindowsTask и папка Windows Tasks Service).
и теперь, после запуска системы, диспетчер задач больше не закрывается автоматически, блокнот с файлом hosts и сама папка ProgramData, но я всё равно заметил, что возможно какие-то команды при запуске Windows всё ещё включаются (но появляется теперь только командная строка). 
Увидел похожее обращение на вашем сайте и решил так же воспользоваться такой возможностью.
Прикрепил логи результатов из программы AV_block_remover
Заранее спасибо!

AV_block_remove_2024.05.20-09.23.log

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 98

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

  

Start::
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_mihoyo_1_0] => [X]
HKLM-x32\...\Run: [Star Rail_launcher_hoyoverse_PC_1_1] => [X]
HKLM-x32\...\Run: [Star Rail_launcher__1_1] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {CA99154B-DD4B-4118-BD99-A80D49CDA24D} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /c (Нет файла)
Task: {0F330EB7-EE02-4EBD-97EA-06DEA07B5C40} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /ua /installsource scheduler (Нет файла)
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=3 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=9 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
S2 TunMirror; "C:\ProgramData\KMSAuto\bin\TunMirror2.exe" [X]
AlternateDataStreams: C:\Users\sasha\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Напишите о текущих проблемах.

Ссылка на сообщение
Поделиться на другие сайты
Sashok103

Sashok103 0

Опубликовано
  • Автор
Опубликовано (изменено)
17 минут назад, safety сказал:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

  



Start::
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_mihoyo_1_0] => [X]
HKLM-x32\...\Run: [Star Rail_launcher_hoyoverse_PC_1_1] => [X]
HKLM-x32\...\Run: [Star Rail_launcher__1_1] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {CA99154B-DD4B-4118-BD99-A80D49CDA24D} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /c (Нет файла)
Task: {0F330EB7-EE02-4EBD-97EA-06DEA07B5C40} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /ua /installsource scheduler (Нет файла)
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=3 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=9 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
S2 TunMirror; "C:\ProgramData\KMSAuto\bin\TunMirror2.exe" [X]
AlternateDataStreams: C:\Users\sasha\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Напишите о текущих проблемах.

Кажется теперь всё в порядке, после запуска системы командная строка больше не появлялась, что по сути и требовалось.
Диспетчер задач и проводник, в определённых папках, указанных выше, тоже работают нормально, самих проблемных файлов больше не обнаружил.

Fixlog_20-05-2024 13.40.13.txt

Изменено пользователем Sashok103
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 98

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
Sashok103

Sashok103 0

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

 

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 98

Опубликовано
Опубликовано

По возможности, обновите данное ПО:

 

Sandboxie-Plus v1.12.9 v.1.12.9 Внимание! Скачать обновления

AMD Software v.24.3.1 Внимание! Скачать обновления
TeamViewer v.15.52.3 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.79.2 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления

Discord v.1.0.9040 Внимание! Скачать обновления
Zoom v.5.17.11 (34827) Внимание! Скачать обновления
Telegram Desktop v.4.9.8 Внимание! Скачать обновления

SoftEther VPN Client v.4.41.9787 Внимание! Скачать обновления

Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^

Spotify v.1.2.3.1115.gd61a8f5c Внимание! Скачать обновления
AIMP v.5.11.2436 Внимание! Скачать обновления

 

Google Chrome v.124.0.6367.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 109.0.5097.80 v.109.0.5097.80 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

 

CCleaner v.6.12 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

Razer Cortex v.10.13.12.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Ссылка на сообщение
Поделиться на другие сайты
Sashok103

Sashok103 0

Опубликовано
  • Автор
Опубликовано
2 минуты назад, safety сказал:

По возможности, обновите данное ПО:

 

Sandboxie-Plus v1.12.9 v.1.12.9 Внимание! Скачать обновления

AMD Software v.24.3.1 Внимание! Скачать обновления
TeamViewer v.15.52.3 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.79.2 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления

Discord v.1.0.9040 Внимание! Скачать обновления
Zoom v.5.17.11 (34827) Внимание! Скачать обновления
Telegram Desktop v.4.9.8 Внимание! Скачать обновления

SoftEther VPN Client v.4.41.9787 Внимание! Скачать обновления

Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^

Spotify v.1.2.3.1115.gd61a8f5c Внимание! Скачать обновления
AIMP v.5.11.2436 Внимание! Скачать обновления

 

Google Chrome v.124.0.6367.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 109.0.5097.80 v.109.0.5097.80 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

 

CCleaner v.6.12 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

Razer Cortex v.10.13.12.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Хорошо, я постараюсь обновить ПО в ближайшее время, а Ccleaner и Razer буду использовать с осторожностью. Благодарю за помощь!

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 98

Опубликовано
Опубликовано

В завершении:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 98

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Crazardguy
      Майнер загружает ЦП и видеокарту
      От Crazardguy
      Добрый день!
      Два дня назад при скачивании файла с Интернета обнаружил, что при запуске игры, которая прежде работала без проблем, появились подвисания длительностью в полсекунды с периодичностью раз в 1-2 секунды. В диспетчере задач при этом увидел большую загрузку ЦП и видеокарты, а в столбце "Ядро GPU" - название процессора с подписью " - copy".
      При проверке антивирусами только Dr.Web смог найти вредоносный файл, и после лечения несколько часов проблемы не возникало, но сейчас она вернулась. Повторная проверка антивирусом каждый раз сбивается и выдаёт ошибку

      Прошу помочь с данной проблемой
    • Ezikeil
      [РЕШЕНО] Майнер John
      От Ezikeil
      В начале мая поймал майнер "John", блокировал доступ к AMD Software и нагружал видеокарту, почистил пк через: Dr.Web CurеIt!, kaspersky removal tool, Avz, AV block remover (AVbr) почистил вручную localhost, вручную удалял папки который майнер насоздавал в Program data и вроде как удалил майнер. Смущает что Avz ругается на перехватку каких то методов. 
      CollectionLog-2024.06.16-00.16.zip HiJackThis.log avz_log.txt Addition.txt FRST.txt
    • zeuslody
      майнер explorer.exe
      От zeuslody
      Поймал майнер прячещийся под процессом explorer.exe . При открытом диспетчере задач останавливается. Скрин AMD Adrenaline (нагрузка 75%-90% ЦП) на рабочем столе.

      Температуры ЦП 
      1) при открытом ДЗ

      2) при закрытом ДЗ

       
    • APOLLO
      Trojan:Win64/DisguisedXMRigMiner помогите удалить (FRST установил, но не знаю что включать в фикс)
      От APOLLO
      По работе пришлось установить на комп Визио, но цепанул Trojan:Win64/DisguisedXMRigMiner
      На форумах посоветовали через Фабар сделать скан, но что загружать в фикс я не знаю
      FRST и Addition.rar
    • sova.prod123
      [РЕШЕНО] Вирус-майнер
      От sova.prod123
      Всем здравствуйте. Поймал майнер при закачке программы Soundpad, неполадки обнаружил только спустя пару часов, сильная нагрузка на пк без причины. Попытки что-то вылечить самостоятельно не увенчались успехом: RougeKiller установить не удаётся, вирус не дает этого сделать, сворачивает командную строку при попытке подлезть в систему, диспетчер задач. В безопасном режиме вирус господствует точно так же, сворачивает абсолютно все окна при одном только упоминании, нет доступа к некоторым фаилам в системе,а так если повезёт - продержится диспетчер задач, но в нем нельзя будет остановить чужеродные процессы, так как просто нет прав. Попытался при помощи образа с флэшки что-то найти Dr.Web'om, найти то он нашел, вот толку особо не было, пробовал ещё кое-как использовать emsisoft anti-malware, он тоже что-то нашел, но проблема не решилась, касперским тоже пробовал искать, он так же нашел что-то, вроде как удалил, но эффекта нет
      . Прикрепляю логи ниже, надеюсь на вашу поддержку
      CollectionLog-2024.05.26-00.13.zip
×
×
  • Создать...