Перейти к содержанию
Правила раздела

[РЕШЕНО] Заразил систему кучей вирусов и майнером Taskhostw.exe

Sashok103

Автор Sashok103
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sashok103

Sashok103

Опубликовано
Опубликовано

Здравствуйте! Имеется такая проблема: после установки ПО подхватил вирусы и майнер. 
Что бы попытаться решить эту проблему, пробовал самостоятельно методы по их удалению с помощью просмотра советов в Интернете. 
Например при запуске ПК, у меня сразу же отображались командная строка и Windows PowerShell на пару секунд, исходя из которых они делали внедрение своих вредоносных команд в мою систему.
Изучая это всю ночь, мне таки удалось удалить в пути C:\ProgramData\ папки с вредоносным содержимым (Папка Setup, папка RealtekHD, папка WindowsTask и папка Windows Tasks Service).
и теперь, после запуска системы, диспетчер задач больше не закрывается автоматически, блокнот с файлом hosts и сама папка ProgramData, но я всё равно заметил, что возможно какие-то команды при запуске Windows всё ещё включаются (но появляется теперь только командная строка). 
Увидел похожее обращение на вашем сайте и решил так же воспользоваться такой возможностью.
Прикрепил логи результатов из программы AV_block_remover
Заранее спасибо!

AV_block_remove_2024.05.20-09.23.log

safety

safety

Опубликовано
Опубликовано

...

После перезагрузки системы соберите новый CollectionLog Автологером.

safety

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

  

Start::
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_mihoyo_1_0] => [X]
HKLM-x32\...\Run: [Star Rail_launcher_hoyoverse_PC_1_1] => [X]
HKLM-x32\...\Run: [Star Rail_launcher__1_1] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {CA99154B-DD4B-4118-BD99-A80D49CDA24D} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /c (Нет файла)
Task: {0F330EB7-EE02-4EBD-97EA-06DEA07B5C40} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /ua /installsource scheduler (Нет файла)
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=3 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=9 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
S2 TunMirror; "C:\ProgramData\KMSAuto\bin\TunMirror2.exe" [X]
AlternateDataStreams: C:\Users\sasha\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Напишите о текущих проблемах.

Sashok103

Sashok103

Опубликовано
  • Автор
Опубликовано (изменено)
17 минут назад, safety сказал:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

  



Start::
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_mihoyo_1_0] => [X]
HKLM-x32\...\Run: [Star Rail_launcher_hoyoverse_PC_1_1] => [X]
HKLM-x32\...\Run: [Star Rail_launcher__1_1] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {CA99154B-DD4B-4118-BD99-A80D49CDA24D} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /c (Нет файла)
Task: {0F330EB7-EE02-4EBD-97EA-06DEA07B5C40} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /ua /installsource scheduler (Нет файла)
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=3 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=9 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
S2 TunMirror; "C:\ProgramData\KMSAuto\bin\TunMirror2.exe" [X]
AlternateDataStreams: C:\Users\sasha\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Напишите о текущих проблемах.

Кажется теперь всё в порядке, после запуска системы командная строка больше не появлялась, что по сути и требовалось.
Диспетчер задач и проводник, в определённых папках, указанных выше, тоже работают нормально, самих проблемных файлов больше не обнаружил.

Fixlog_20-05-2024 13.40.13.txt

Изменено пользователем Sashok103
safety

safety

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Sashok103

Sashok103

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

 

SecurityCheck.txt

safety

safety

Опубликовано
Опубликовано

По возможности, обновите данное ПО:

 

Sandboxie-Plus v1.12.9 v.1.12.9 Внимание! Скачать обновления

AMD Software v.24.3.1 Внимание! Скачать обновления
TeamViewer v.15.52.3 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.79.2 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления

Discord v.1.0.9040 Внимание! Скачать обновления
Zoom v.5.17.11 (34827) Внимание! Скачать обновления
Telegram Desktop v.4.9.8 Внимание! Скачать обновления

SoftEther VPN Client v.4.41.9787 Внимание! Скачать обновления

Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^

Spotify v.1.2.3.1115.gd61a8f5c Внимание! Скачать обновления
AIMP v.5.11.2436 Внимание! Скачать обновления

 

Google Chrome v.124.0.6367.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 109.0.5097.80 v.109.0.5097.80 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

 

CCleaner v.6.12 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

Razer Cortex v.10.13.12.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Sashok103

Sashok103

Опубликовано
  • Автор
Опубликовано
2 минуты назад, safety сказал:

По возможности, обновите данное ПО:

 

Sandboxie-Plus v1.12.9 v.1.12.9 Внимание! Скачать обновления

AMD Software v.24.3.1 Внимание! Скачать обновления
TeamViewer v.15.52.3 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.79.2 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления

Discord v.1.0.9040 Внимание! Скачать обновления
Zoom v.5.17.11 (34827) Внимание! Скачать обновления
Telegram Desktop v.4.9.8 Внимание! Скачать обновления

SoftEther VPN Client v.4.41.9787 Внимание! Скачать обновления

Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^

Spotify v.1.2.3.1115.gd61a8f5c Внимание! Скачать обновления
AIMP v.5.11.2436 Внимание! Скачать обновления

 

Google Chrome v.124.0.6367.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 109.0.5097.80 v.109.0.5097.80 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

 

CCleaner v.6.12 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

Razer Cortex v.10.13.12.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Хорошо, я постараюсь обновить ПО в ближайшее время, а Ccleaner и Razer буду использовать с осторожностью. Благодарю за помощь!

safety

safety

Опубликовано
Опубликовано

В завершении:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Fiadosiy
      вирус
      Автор Fiadosiy
      поймал вирус, жрет процессор а ДЗ не показывается думал на майнер доктор вроде удалил антивирусники не видят но запускаются 
       
      CollectionLog-2025.09.23-17.39.zip
    • kiruxashafr
      словил майнер, прошу помощи!!!
      Автор kiruxashafr
      такая вот проблема слышу ноут гудит захожу в диспетчер задач там само собой все тихо, а вот в приложухе амд показывает видюха надрывается и процессор нагружен, как только открываю диспетчер все утихает, как закрываю опять гудит!

      очень сильно прошу помочь могущественных работников данного форума, когда то очень помогли! спасибо
      ноут honor magicbook 16 plus винда 11
    • per4ik
      label.exe - утилита метки диска грузит видеокарту
      Автор per4ik
      заметил повышение температуры на процессоре, и нагрузку на видеокарте, открыл диспетчер задач и заметил процесс label.exe. Снял задачу и резко упала температура с нагрузкой.
      скорее всего майнер, антивирус не видит, подскажите как можно решить проблему.
      Прикрепляю логи
      CollectionLog-2025.09.20-20.29.zip
    • deamonlal
      Вирус (майнер) на компьютере
      Автор deamonlal
      Добрый день! Столкнулся с подозрительным поведением компьютера. При не использовании в течении 10 минут, начинает громко работать куллер процессора (когда экран монитора погас). Предполагаю, что это майнер. Думаю, он появился после скачивания и установки одной из пиратских игр. Прошу у вас помощи в его удалении!
      Логи из AutoLogger'а прикрепляю.

      Заранее спасибо!
      CollectionLog-2025.09.18-13.18.zip
    • silvers864
      tool.btcmine.2794
      Автор silvers864
      Здраствуйте. Подцепила майнер неведомо где, cureit, естественно, с ним не справился. 
      CollectionLog-2025.09.15-23.40.zip
×
×
  • Создать...