[РЕШЕНО] Помогите удалить вирус taskhost

[GavrikGame]

Удалял вирус полностью и через безопасный режим, как только не пытался.
Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
ПОМОГИТИ

Изменено 9 июля пользователем GavrikGame

[mike 1]

Здравствуйте.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br123.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам этого раздела.

[GavrikGame]

1 минуту назад, mike 1 сказал:

Здравствуйте.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br123.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам этого раздела.

Привет, а есть варик например созвониться в дискорде или ещё где-то, дабы ускорить процесс?

[mike 1]

Только что, GavrikGame сказал:

Привет, а есть варик например созвониться в дискорде или ещё где-то, дабы ускорить процесс?

Нет.

[GavrikGame]

7 минут назад, mike 1 сказал:

Здравствуйте.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br123.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам этого раздела.

как я понял этот файл появится после перезагрузки пк CollectionLog?

AV_block_remove_2024.07.09-11.02.log

[mike 1]

Жду логи из пункта 2  

 

[GavrikGame]

7 минут назад, mike 1 сказал:

Жду логи из пункта 2  

 

надеюсь всё правильно сделал!

Check_Browsers_LNK.log HiJackThis.log info.txt log.txt

[thyrex]

Прочтите внимательно написанное по ссылке.

[GavrikGame]

3 минуты назад, thyrex сказал:

Прочтите внимательно написанное по ссылке.

Я вроде сделал всё как по инструкции.

[thyrex]

Ключевое слово - "вроде". Переделывайте.

[GavrikGame]

1 минуту назад, thyrex сказал:

Ключевое слово - "вроде". Переделывайте.

Сразу бы и сказали что вам архив нужен, я думал что только текстовые документы, скинуть нужно.

CollectionLog-2024.07.09-11.15.zip

[mike 1]

"Пофиксите" в HijackThis (HiJackThis запускайте из папки Автологгера):

 

O4 - HKLM\..\Session Manager: [PendingFileRenameOperations2] = C:\Device\HarddiskVolume3\Users\gavri\AppData\Local\Temp\fshc-17360-2160-59346176.tmp.db -> DELETE (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aeinv.dll -f:UpdateSoftwareInventoryW invsvc (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (sign: 'Microsoft')
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

 

Сделайте новые логи Автологгером без запущенного Drweb Cureit.

[GavrikGame]

13 минут назад, mike 1 сказал:

"Пофиксите" в HijackThis (HiJackThis запускайте из папки Автологгера):

 

O4 - HKLM\..\Session Manager: [PendingFileRenameOperations2] = C:\Device\HarddiskVolume3\Users\gavri\AppData\Local\Temp\fshc-17360-2160-59346176.tmp.db -> DELETE (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aeinv.dll -f:UpdateSoftwareInventoryW invsvc (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (sign: 'Microsoft')
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

 

Сделайте новые логи Автологгером без запущенного Drweb Cureit.

Ничего если я это делаю когда у меня вирусы удалены, пока не переустанавливал комп чтобы они возродились?

 

Изменено 9 июля пользователем GavrikGame

[mike 1]

Выполняйте все равно. Если будете переустанавливать, то скажите об этом сразу, чтобы я не тратил на вас впустую свое время. 

[GavrikGame]

11 минут назад, mike 1 сказал:

Выполняйте все равно. Если будете переустанавливать, то скажите об этом сразу, чтобы я не тратил на вас впустую свое время. 

Я пофиксил в той программе, мне предложили перезагрузить ПК я это сделал, проверил что изменилось: ProgramData не закрывается, браузер тоже если посещать сайты антивирусов, вроде всё норм работает!
вот актуальные логи.

CollectionLog-2024.07.09-12.03.zip

13 минут назад, mike 1 сказал:

Выполняйте все равно. Если будете переустанавливать, то скажите об этом сразу, чтобы я не тратил на вас впустую свое время. 

Что-то ещё нужно делать?

Изменено 9 июля пользователем GavrikGame