[РЕШЕНО] Помогите удалить вирус taskhost

9 июля, 2024

Удалял вирус полностью и через безопасный режим, как только не пытался.
Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
ПОМОГИТИ

Изменено 9 июля, 2024 пользователем GavrikGame

9 июля, 2024

Здравствуйте.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br123.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам этого раздела.

9 июля, 2024

1 минуту назад, mike 1 сказал:

Здравствуйте.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br123.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам этого раздела.

Привет, а есть варик например созвониться в дискорде или ещё где-то, дабы ускорить процесс?

9 июля, 2024

Только что, GavrikGame сказал:

Привет, а есть варик например созвониться в дискорде или ещё где-то, дабы ускорить процесс?

Нет.

9 июля, 2024

7 минут назад, mike 1 сказал:

Здравствуйте.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br123.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам этого раздела.

как я понял этот файл появится после перезагрузки пк CollectionLog?

AV_block_remove_2024.07.09-11.02.log

9 июля, 2024

Жду логи из пункта 2

9 июля, 2024

7 минут назад, mike 1 сказал:

Жду логи из пункта 2

надеюсь всё правильно сделал!

Check_Browsers_LNK.log HiJackThis.log info.txt log.txt

9 июля, 2024

Прочтите внимательно написанное по ссылке.

9 июля, 2024

3 минуты назад, thyrex сказал:

Прочтите внимательно написанное по ссылке.

Я вроде сделал всё как по инструкции.

9 июля, 2024

Ключевое слово - "вроде". Переделывайте.

9 июля, 2024

1 минуту назад, thyrex сказал:

Ключевое слово - "вроде". Переделывайте.

Сразу бы и сказали что вам архив нужен, я думал что только текстовые документы, скинуть нужно.

CollectionLog-2024.07.09-11.15.zip

9 июля, 2024

"Пофиксите" в HijackThis (HiJackThis запускайте из папки Автологгера):

O4 - HKLM\..\Session Manager: [PendingFileRenameOperations2] = C:\Device\HarddiskVolume3\Users\gavri\AppData\Local\Temp\fshc-17360-2160-59346176.tmp.db -> DELETE (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aeinv.dll -f:UpdateSoftwareInventoryW invsvc (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (sign: 'Microsoft')
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Сделайте новые логи Автологгером без запущенного Drweb Cureit.

9 июля, 2024

13 минут назад, mike 1 сказал:

"Пофиксите" в HijackThis (HiJackThis запускайте из папки Автологгера):




O4 - HKLM\..\Session Manager: [PendingFileRenameOperations2] = C:\Device\HarddiskVolume3\Users\gavri\AppData\Local\Temp\fshc-17360-2160-59346176.tmp.db -> DELETE (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aeinv.dll -f:UpdateSoftwareInventoryW invsvc (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (sign: 'Microsoft')
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Сделайте новые логи Автологгером без запущенного Drweb Cureit.

Ничего если я это делаю когда у меня вирусы удалены, пока не переустанавливал комп чтобы они возродились?

Изменено 9 июля, 2024 пользователем GavrikGame

9 июля, 2024

Выполняйте все равно. Если будете переустанавливать, то скажите об этом сразу, чтобы я не тратил на вас впустую свое время.

9 июля, 2024

11 минут назад, mike 1 сказал:

Выполняйте все равно. Если будете переустанавливать, то скажите об этом сразу, чтобы я не тратил на вас впустую свое время.

Я пофиксил в той программе, мне предложили перезагрузить ПК я это сделал, проверил что изменилось: ProgramData не закрывается, браузер тоже если посещать сайты антивирусов, вроде всё норм работает!
вот актуальные логи.

CollectionLog-2024.07.09-12.03.zip

13 минут назад, mike 1 сказал:

Выполняйте все равно. Если будете переустанавливать, то скажите об этом сразу, чтобы я не тратил на вас впустую свое время.

Что-то ещё нужно делать?

Изменено 9 июля, 2024 пользователем GavrikGame

[РЕШЕНО] Помогите удалить вирус taskhost

Рекомендуемые сообщения

GavrikGame

Топ авторов темы

Топ авторов темы

Популярные посты

mike 1

mike 1

Изображения в теме

mike 1

GavrikGame

mike 1

GavrikGame

mike 1

GavrikGame

thyrex

GavrikGame

thyrex

GavrikGame

mike 1

GavrikGame

mike 1

GavrikGame

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum