Перейти к содержанию

[РЕШЕНО] Помогите удалить вирус taskhost


Рекомендуемые сообщения

Удалял вирус полностью и через безопасный режим, как только не пытался.
Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
ПОМОГИТИ

Screenshot_1.png

Изменено пользователем GavrikGame
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 31
  • Created
  • Последний ответ

Top Posters In This Topic

  • GavrikGame

    16

  • mike 1

    13

  • thyrex

    3

Popular Days

Top Posters In This Topic

Popular Posts

На этом всё. Утилиты можно удалить. 

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и т

Posted Images

Здравствуйте.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br123.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам этого раздела.

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, mike 1 сказал:

Здравствуйте.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br123.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам этого раздела.

Привет, а есть варик например созвониться в дискорде или ещё где-то, дабы ускорить процесс?

Ссылка на сообщение
Поделиться на другие сайты
Только что, GavrikGame сказал:

Привет, а есть варик например созвониться в дискорде или ещё где-то, дабы ускорить процесс?

Нет.

Ссылка на сообщение
Поделиться на другие сайты
7 минут назад, mike 1 сказал:

Здравствуйте.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br123.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам этого раздела.

как я понял этот файл появится после перезагрузки пк CollectionLog?

AV_block_remove_2024.07.09-11.02.log

Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, thyrex сказал:

Прочтите внимательно написанное по ссылке.

Я вроде сделал всё как по инструкции.

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, thyrex сказал:

Ключевое слово - "вроде". Переделывайте.

Сразу бы и сказали что вам архив нужен, я думал что только текстовые документы, скинуть нужно.

CollectionLog-2024.07.09-11.15.zip

Ссылка на сообщение
Поделиться на другие сайты

"Пофиксите" в HijackThis (HiJackThis запускайте из папки Автологгера):

 

O4 - HKLM\..\Session Manager: [PendingFileRenameOperations2] = C:\Device\HarddiskVolume3\Users\gavri\AppData\Local\Temp\fshc-17360-2160-59346176.tmp.db -> DELETE (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aeinv.dll -f:UpdateSoftwareInventoryW invsvc (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (sign: 'Microsoft')
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

 

Сделайте новые логи Автологгером без запущенного Drweb Cureit.

Ссылка на сообщение
Поделиться на другие сайты
13 минут назад, mike 1 сказал:

"Пофиксите" в HijackThis (HiJackThis запускайте из папки Автологгера):

 




O4 - HKLM\..\Session Manager: [PendingFileRenameOperations2] = C:\Device\HarddiskVolume3\Users\gavri\AppData\Local\Temp\fshc-17360-2160-59346176.tmp.db -> DELETE (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aeinv.dll -f:UpdateSoftwareInventoryW invsvc (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (sign: 'Microsoft')
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

 

Сделайте новые логи Автологгером без запущенного Drweb Cureit.

Ничего если я это делаю когда у меня вирусы удалены, пока не переустанавливал комп чтобы они возродились?

 

Изменено пользователем GavrikGame
Ссылка на сообщение
Поделиться на другие сайты

Выполняйте все равно. Если будете переустанавливать, то скажите об этом сразу, чтобы я не тратил на вас впустую свое время. 

Ссылка на сообщение
Поделиться на другие сайты
11 минут назад, mike 1 сказал:

Выполняйте все равно. Если будете переустанавливать, то скажите об этом сразу, чтобы я не тратил на вас впустую свое время. 

Я пофиксил в той программе, мне предложили перезагрузить ПК я это сделал, проверил что изменилось: ProgramData не закрывается, браузер тоже если посещать сайты антивирусов, вроде всё норм работает!
вот актуальные логи.

CollectionLog-2024.07.09-12.03.zip

13 минут назад, mike 1 сказал:

Выполняйте все равно. Если будете переустанавливать, то скажите об этом сразу, чтобы я не тратил на вас впустую свое время. 

Что-то ещё нужно делать?

Изменено пользователем GavrikGame
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ArteNiko
      От ArteNiko
      Помогите решить проблему.
      CollectionLog-2024.03.26-21.21.zip
       
    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • tronnorlack
      От tronnorlack
      МайнерFRST.txt не дает ничего открыть, скачал FRST, но не знаю как правильно сделать исправле ния
      Addition.txt
    • kurosakichel
      От kurosakichel
      Всем привет! Связался с такой проблемой, что скачал давным-давно вирус с майнером, который как я понял за некоторое время вшился в мой биос. Когда я убедился, что на моем компьютере есть майнер по двум признакам. Это когда с закрытым диспетчером задач вентиляторы в компьютере начинают шуметь и компьютер загружается на 60-70%, а когда я открываю диспетчер задач вентиляторы утихают и резко с 70% загруженности цп падает до низкого процента (10-30%). И еще один признак, когда мне посоветовали скачать антивирус Dr.Web он начал вечно блокировать приложение powershell.exe и тогда я понял, что благодаря нему майнер и сидит в моем компьютере и удалить его без посторонней помощи для меня - никак. Пробная подписка на Dr.Web истекла и я решился переустановить виндовс вновь с надеждой на везение, но увы, не помогло. Майнер так и остался в моем компьютере... Очень хочется удалить майнер без замены деталей в компьютере. Помогите пожалуйста!!
    • r_skripnikov
      От r_skripnikov
      Словил вирусняк не понятно с какого конретно установленного софта. Ясно знаю что словил вчера. Всё по стандарту — диспетчер закрывается, антивирус любой который пытался скачать не качается (закрывается браузер). В безопасном режиме всех файлов которые находил Dr.Web Cureit нет. Пробовал зачищать вручную с помощью CMD, всё возвращается. В автозагрузке процесс RealtekHD который хранится в ProgramData и два файла которые друг друга поднимают taskhost.exe и taskhostw.exe. У самого не получилось — прошу помощи

×
×
  • Создать...