Перейти к содержанию

[РЕШЕНО] Заразил систему кучей вирусов и майнером Taskhostw.exe


Рекомендуемые сообщения

Опубликовано

Здравствуйте! Имеется такая проблема: после установки ПО подхватил вирусы и майнер. 
Что бы попытаться решить эту проблему, пробовал самостоятельно методы по их удалению с помощью просмотра советов в Интернете. 
Например при запуске ПК, у меня сразу же отображались командная строка и Windows PowerShell на пару секунд, исходя из которых они делали внедрение своих вредоносных команд в мою систему.
Изучая это всю ночь, мне таки удалось удалить в пути C:\ProgramData\ папки с вредоносным содержимым (Папка Setup, папка RealtekHD, папка WindowsTask и папка Windows Tasks Service).
и теперь, после запуска системы, диспетчер задач больше не закрывается автоматически, блокнот с файлом hosts и сама папка ProgramData, но я всё равно заметил, что возможно какие-то команды при запуске Windows всё ещё включаются (но появляется теперь только командная строка). 
Увидел похожее обращение на вашем сайте и решил так же воспользоваться такой возможностью.
Прикрепил логи результатов из программы AV_block_remover
Заранее спасибо!

AV_block_remove_2024.05.20-09.23.log

Опубликовано

...

После перезагрузки системы соберите новый CollectionLog Автологером.

Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_mihoyo_1_0] => [X]
HKLM-x32\...\Run: [Star Rail_launcher_hoyoverse_PC_1_1] => [X]
HKLM-x32\...\Run: [Star Rail_launcher__1_1] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {CA99154B-DD4B-4118-BD99-A80D49CDA24D} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /c (Нет файла)
Task: {0F330EB7-EE02-4EBD-97EA-06DEA07B5C40} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /ua /installsource scheduler (Нет файла)
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=3 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=9 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
S2 TunMirror; "C:\ProgramData\KMSAuto\bin\TunMirror2.exe" [X]
AlternateDataStreams: C:\Users\sasha\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Напишите о текущих проблемах.

Опубликовано (изменено)
17 минут назад, safety сказал:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 



Start::
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_mihoyo_1_0] => [X]
HKLM-x32\...\Run: [Star Rail_launcher_hoyoverse_PC_1_1] => [X]
HKLM-x32\...\Run: [Star Rail_launcher__1_1] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {CA99154B-DD4B-4118-BD99-A80D49CDA24D} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /c (Нет файла)
Task: {0F330EB7-EE02-4EBD-97EA-06DEA07B5C40} - System32\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe  /ua /installsource scheduler (Нет файла)
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001Core.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
Task: C:\Windows\Tasks\uCozMediaUranUpdateTaskUserS-1-5-21-2879323616-4221503974-1861325940-1001UA.job => C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\UranUpdate.exe
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=3 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
FF Plugin HKU\S-1-5-21-2879323616-4221503974-1861325940-1001: @uranupdates.com/uCozMedia UranUpdate;version=9 -> C:\Users\sasha\AppData\Local\uCozMedia\UranUpdate\1.3.27.0\npGoogleUpdate3.dll [Нет файла]
S2 TunMirror; "C:\ProgramData\KMSAuto\bin\TunMirror2.exe" [X]
AlternateDataStreams: C:\Users\sasha\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\sasha\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Напишите о текущих проблемах.

Кажется теперь всё в порядке, после запуска системы командная строка больше не появлялась, что по сути и требовалось.
Диспетчер задач и проводник, в определённых папках, указанных выше, тоже работают нормально, самих проблемных файлов больше не обнаружил.

Fixlog_20-05-2024 13.40.13.txt

Изменено пользователем Sashok103
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Опубликовано
5 минут назад, safety сказал:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

 

SecurityCheck.txt

Опубликовано

По возможности, обновите данное ПО:

 

Sandboxie-Plus v1.12.9 v.1.12.9 Внимание! Скачать обновления

AMD Software v.24.3.1 Внимание! Скачать обновления
TeamViewer v.15.52.3 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.79.2 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления

Discord v.1.0.9040 Внимание! Скачать обновления
Zoom v.5.17.11 (34827) Внимание! Скачать обновления
Telegram Desktop v.4.9.8 Внимание! Скачать обновления

SoftEther VPN Client v.4.41.9787 Внимание! Скачать обновления

Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^

Spotify v.1.2.3.1115.gd61a8f5c Внимание! Скачать обновления
AIMP v.5.11.2436 Внимание! Скачать обновления

 

Google Chrome v.124.0.6367.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 109.0.5097.80 v.109.0.5097.80 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

 

CCleaner v.6.12 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

Razer Cortex v.10.13.12.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Опубликовано
2 минуты назад, safety сказал:

По возможности, обновите данное ПО:

 

Sandboxie-Plus v1.12.9 v.1.12.9 Внимание! Скачать обновления

AMD Software v.24.3.1 Внимание! Скачать обновления
TeamViewer v.15.52.3 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.79.2 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

 

WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления

Discord v.1.0.9040 Внимание! Скачать обновления
Zoom v.5.17.11 (34827) Внимание! Скачать обновления
Telegram Desktop v.4.9.8 Внимание! Скачать обновления

SoftEther VPN Client v.4.41.9787 Внимание! Скачать обновления

Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^

Spotify v.1.2.3.1115.gd61a8f5c Внимание! Скачать обновления
AIMP v.5.11.2436 Внимание! Скачать обновления

 

Google Chrome v.124.0.6367.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 109.0.5097.80 v.109.0.5097.80 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

 

CCleaner v.6.12 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

Razer Cortex v.10.13.12.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Хорошо, я постараюсь обновить ПО в ближайшее время, а Ccleaner и Razer буду использовать с осторожностью. Благодарю за помощь!

Опубликовано

В завершении:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

  • Like (+1) 1
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • BMO
      Автор BMO
      FRST.zip
      При даже включенном касперском открывается браузер хром, далее кликер или что-то в этом роде начинает смотреть ютуб (без шуток). Данный браузер открыть не могу, ток закрыть и видеть в трее. При этом курсор мыши остается блокированным для меня, пока не закрою браузер.
      До установки касперского невозможно было зайти в ProgrammData
    • Inkk
      Автор Inkk
      Заметил что на рабочем столе нагрузка цп стала подниматься до 41% что для моего ПК очень не типично, везде смотрел и как только начал интересоваться, начали закрываться программы, антивирус установить не могу, вирус прсото запрещает это сделать. Вкладки в браузере которы могут навредить вирусу так же закрываются. Полная проверка виндовс ничего не дала. Как его удалить? И что вообще делать? 
    • r_skripnikov
      Автор r_skripnikov
      Словил вирусняк не понятно с какого конретно установленного софта. Ясно знаю что словил вчера. Всё по стандарту — диспетчер закрывается, антивирус любой который пытался скачать не качается (закрывается браузер). В безопасном режиме всех файлов которые находил Dr.Web Cureit нет. Пробовал зачищать вручную с помощью CMD, всё возвращается. В автозагрузке процесс RealtekHD который хранится в ProgramData и два файла которые друг друга поднимают taskhost.exe и taskhostw.exe. У самого не получилось — прошу помощи
    • TheUze
      Автор TheUze
      Все симптомы, как в других ветках - загрузка цп, не даёт открывать сайты связанные с лечением, закрывает диспетчер, закрывает некоторые программы антивирусы. Пытался лечить доктором веб, один раз он удалил вирус и был его остаток, то есть цп уже не нагружался, однако в процессах ещё висел realtekhd(там 2 процесса один taskhost.exe и taskhostw.exe), но сайты с антивирусами и всё схожее закрывал. Я так понимаю именно он вторая часть вируса, которая делает бэкап компьютера после перезагрузки и восстанавливает первый вирус.

      Пытался самолечением заниматься, у меня была проблема(создавал в другой ветке вопрос, но сам же его и решил), безопасный режим не запускался(подробнее там же, не хочу засорять лишним эту ветку). Сейчас вернул всё в нормальный запуск и если что безопасный режим включить могу.

      Не знаю как прикрепить автологгер, он пишет слишком большой размер, поэтому пока с доктора веба.
      cureit.rar
    • Ммм
      Автор Ммм
      Блин бро помоги я захожу а меня сразу выкидывает из проги
      Блин бро помоги я захожу а меня сразу выкидывает из проги
       
      Сообщение от модератора thyrex Перенесено из темы
×
×
  • Создать...