Перейти к содержанию
Правила раздела

[РЕШЕНО] Заразил систему кучей вирусов и майнером Taskhostw.exe

Sashok103

Автор Sashok103
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sashok103

Sashok103

Опубликовано
Опубликовано

Здравствуйте! Имеется такая проблема: после установки ПО подхватил вирусы и майнер. 
Что бы попытаться решить эту проблему, пробовал самостоятельно методы по их удалению с помощью просмотра советов в Интернете. 
Например при запуске ПК, у меня сразу же отображались командная строка и Windows PowerShell на пару секунд, исходя из которых они делали внедрение своих вредоносных команд в мою систему.
Изучая это всю ночь, мне таки удалось удалить в пути C:\ProgramData\ папки с вредоносным содержимым (Папка Setup, папка RealtekHD, папка WindowsTask и папка Windows Tasks Service).
и теперь, после запуска системы, диспетчер задач больше не закрывается автоматически, блокнот с файлом hosts и сама папка ProgramData, но я всё равно заметил, что возможно какие-то команды при запуске Windows всё ещё включаются (но появляется теперь только командная строка). 
Увидел похожее обращение на вашем сайте и решил так же воспользоваться такой возможностью.
Прикрепил логи результатов из программы AV_block_remover
Заранее спасибо!

AV_block_remove_2024.05.20-09.23.log

safety

safety

Опубликовано
Опубликовано

...

После перезагрузки системы соберите новый CollectionLog Автологером.

safety

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

  

Start::
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_mihoyo_1_0] => [X]
HKLM-x32\...\Run: [Star Rail_launcher_hoyoverse_PC_1_1] => [X]
HKLM-x32\...\Run: [Star Rail_launcher__1_1] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {CA99154B-DD4B-4118-BD99-A80D49CDA24D} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /c (Нет файла)
Task: {0F330EB7-EE02-4EBD-97EA-06DEA07B5C40} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /ua /installsource scheduler (Нет файла)
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=3 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=9 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
S2 TunMirror; "C:\ProgramData\KMSAuto\bin\TunMirror2.exe" [X]
AlternateDataStreams: C:\Users\sasha\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Напишите о текущих проблемах.

Sashok103

Sashok103

Опубликовано
  • Автор
Опубликовано (изменено)
17 минут назад, safety сказал:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

  



Start::
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_mihoyo_1_0] => [X]
HKLM-x32\...\Run: [Star Rail_launcher_hoyoverse_PC_1_1] => [X]
HKLM-x32\...\Run: [Star Rail_launcher__1_1] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {CA99154B-DD4B-4118-BD99-A80D49CDA24D} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /c (Нет файла)
Task: {0F330EB7-EE02-4EBD-97EA-06DEA07B5C40} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /ua /installsource scheduler (Нет файла)
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=3 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=9 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
S2 TunMirror; "C:\ProgramData\KMSAuto\bin\TunMirror2.exe" [X]
AlternateDataStreams: C:\Users\sasha\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Напишите о текущих проблемах.

Кажется теперь всё в порядке, после запуска системы командная строка больше не появлялась, что по сути и требовалось.
Диспетчер задач и проводник, в определённых папках, указанных выше, тоже работают нормально, самих проблемных файлов больше не обнаружил.

Fixlog_20-05-2024 13.40.13.txt

Изменено пользователем Sashok103
safety

safety

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Sashok103

Sashok103

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

 

SecurityCheck.txt

safety

safety

Опубликовано
Опубликовано

По возможности, обновите данное ПО:

 

Sandboxie-Plus v1.12.9 v.1.12.9 Внимание! Скачать обновления

AMD Software v.24.3.1 Внимание! Скачать обновления
TeamViewer v.15.52.3 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.79.2 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления

Discord v.1.0.9040 Внимание! Скачать обновления
Zoom v.5.17.11 (34827) Внимание! Скачать обновления
Telegram Desktop v.4.9.8 Внимание! Скачать обновления

SoftEther VPN Client v.4.41.9787 Внимание! Скачать обновления

Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^

Spotify v.1.2.3.1115.gd61a8f5c Внимание! Скачать обновления
AIMP v.5.11.2436 Внимание! Скачать обновления

 

Google Chrome v.124.0.6367.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 109.0.5097.80 v.109.0.5097.80 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

 

CCleaner v.6.12 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

Razer Cortex v.10.13.12.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Sashok103

Sashok103

Опубликовано
  • Автор
Опубликовано
2 минуты назад, safety сказал:

По возможности, обновите данное ПО:

 

Sandboxie-Plus v1.12.9 v.1.12.9 Внимание! Скачать обновления

AMD Software v.24.3.1 Внимание! Скачать обновления
TeamViewer v.15.52.3 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.79.2 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления

Discord v.1.0.9040 Внимание! Скачать обновления
Zoom v.5.17.11 (34827) Внимание! Скачать обновления
Telegram Desktop v.4.9.8 Внимание! Скачать обновления

SoftEther VPN Client v.4.41.9787 Внимание! Скачать обновления

Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^

Spotify v.1.2.3.1115.gd61a8f5c Внимание! Скачать обновления
AIMP v.5.11.2436 Внимание! Скачать обновления

 

Google Chrome v.124.0.6367.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 109.0.5097.80 v.109.0.5097.80 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

 

CCleaner v.6.12 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

Razer Cortex v.10.13.12.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Хорошо, я постараюсь обновить ПО в ближайшее время, а Ccleaner и Razer буду использовать с осторожностью. Благодарю за помощь!

safety

safety

Опубликовано
Опубликовано

В завершении:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • Two2Face
      [РЕШЕНО] Подозрительный проводник в диспетчере задач и возможно нагруженная память
      Автор Two2Face
      Добрый день. Сегодня залез в диспетчер задач, а там я заметил, что один из процессоров нагружает 18% ЦП. Это - 'Проводник'. После я решил посмотреть в программе Process Explorer, там наш проводник уже высвечивается, как - 'explorer.exe', без иконки (внизу бегают разные explorer.exe, которые высвечиваются с иконками в виде жёлтой папки, как в диспетчере задач, а этот без иконки и под 18%, но возможно здесь я чего-то не понимаю). Ещё память нагружена под 29, но у меня открыт гугл (много вкладок), Дискорд, ВПН и протокол, поэтому не могу быть полностью уверен в том, что в этом пункте тоже вирус (не знаю, нужно ли это здесь, но 5090 и 9950x3d). Кстати, когда я пытаюсь завершить проводник в диспетчере задач, то у меня комп постоянно уходит в перезагрузку (хотел закрыть процесс, что бы потом запустить новую задачу, вдруг завис). 


      CollectionLog-2026.01.11-07.51.zip
    • Константин Д
      [РЕШЕНО] Помощь в удалении Tool.BtcMine.2714,2754
      Автор Константин Д
      Добрый день! Вчера заметил, что в играх стал сильно проседать ФПС. При попытке скачать Dr.Web браузер закрывается, защитник Windows выключен, диспетчер задач не дает посмотреть автозагрузку приложений. В безопасном режиме CureIt обнаружил угрозы: Tool.BtcMine.2714 (объекты amd.exe, appmodule.exe), Trojan.BtcMine.2754, taskhost.exe,taskhostw.exe, Trojan.Autoit.1559, Trojan.Starter.8242. Autologger запустился только в безопасном режиме с измененным именем. В реестре отключен Windows Defender, включить через задачи тоже не дает- нет доступа. 
      CollectionLog-2026.01.06-12.21.zip
    • Николай212322122
      [РЕШЕНО] Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
×
×
  • Создать...