Перейти к содержанию

[РЕШЕНО] Помогите удалить вирус taskhost


GavrikGame

Рекомендуемые сообщения

Это так и не пофиксили:

 

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

 

Далее cкачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

 

Ссылка на комментарий
Поделиться на другие сайты

8 минут назад, mike 1 сказал:

Это так и не пофиксили:

 


O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

 

Далее cкачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 


3munStB.png

 

Держите!

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    CloseProcesses:
    Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
    2024-06-13 14:56 - 2024-06-13 14:56 - 000012609 _____ C:\ProgramData\vxnylktj.vfa
    2024-06-13 14:56 - 2024-06-13 14:56 - 000000016 _____ C:\ProgramData\mntemp
    Unblock: C:\Users\gavri\OneDrive\Desktop\AV_block_remover
    Unblock: C:\Users\gavri\OneDrive\Desktop\AutoLogger
    C:\Program Files\ReasonLabs
    C:\Program Files (x86)\Wise
    Folder: C:\FRST\Quarantine
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, mike 1 сказал:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    SystemRestore: On
    CreateRestorePoint:
    CloseProcesses:
    Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
    2024-06-13 14:56 - 2024-06-13 14:56 - 000012609 _____ C:\ProgramData\vxnylktj.vfa
    2024-06-13 14:56 - 2024-06-13 14:56 - 000000016 _____ C:\ProgramData\mntemp
    Unblock: C:\Users\gavri\OneDrive\Desktop\AV_block_remover
    Unblock: C:\Users\gavri\OneDrive\Desktop\AutoLogger
    C:\Program Files\ReasonLabs
    C:\Program Files (x86)\Wise
    Folder: C:\FRST\Quarantine
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Держите!

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Только что, mike 1 сказал:

Что с проблемой?

Ну как я и сказал раньше вроде всё норм, хз за что эти 4 строки отвечали.
мб опять сделать логи и вам скинуть?

Ссылка на комментарий
Поделиться на другие сайты

26 минут назад, mike 1 сказал:

Что с проблемой?

Логи заново сделал, те 4 полиции так и остались, curelt ничё не находит.
Майк, хочу сказать спасибо вам с Тирексом, что уделили мне время и помогаете таким, как я, премного благодарен.
Сорян, что тупил, впервые на подобные форумы обращаюсь и пользуюсь прогами, которые были использованы для решения моей проблемы.
Спасибо вам!

Ссылка на комментарий
Поделиться на другие сайты

13 минут назад, GavrikGame сказал:

Логи заново сделал, те 4 полиции так и остались

От имени Администратора запускаете HiJackThis? 

 

  • Загрузите SecurityCheck by glax24 & Severnyjотсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


Подробнее читайте в этом разделе форума поддержки утилиты.


 

Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, mike 1 сказал:

От имени Администратора запускаете HiJackThis? 

 

 

  • Загрузите SecurityCheck by glax24 & Severnyjотсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 


Подробнее читайте в этом разделе форума поддержки утилиты.


 

1 раз только запускал прогу HiJackThis, когда вы попросили. запускал не от имени администратора!
Держите!

SecurityCheck.txt

Изменено пользователем GavrikGame
Ссылка на комментарий
Поделиться на другие сайты

24 минуты назад, GavrikGame сказал:

1 раз только запускал прогу HiJackThis, когда вы попросили. запускал не от имени администратора!

Надо запускать от имени Администратора.

 

Исправьте и обновите:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Windows Defender (отключен)

Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
 

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.30.30704 v.14.30.30704.0 Внимание! Скачать обновления
Zoom Workplace v.6.0.11 (39959) Внимание! Скачать обновления
Yandex v.24.6.1.766 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Ссылка на комментарий
Поделиться на другие сайты

3 минуты назад, mike 1 сказал:

Надо запускать от имени Администратора.

 

Исправьте и обновите:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Windows Defender (отключен)

Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
 

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.30.30704 v.14.30.30704.0 Внимание! Скачать обновления
Zoom Workplace v.6.0.11 (39959) Внимание! Скачать обновления
Yandex v.24.6.1.766 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Обновлять ПО я не хочу и да и не зачем, браузер и так у меня выше версии 24.6.2.787
И не хочу делать действия что бы у меня каждый файл запускался от администратора.
Получается мне щас взять и от администратора запустить прогу и пофиксить те 4 строки?

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, GavrikGame сказал:

Обновлять ПО я не хочу и да и не зачем, браузер и так у меня выше версии 24.6.2.787

Эксплуатацию уязвимостей никто не отменял в уязвимом ПО. 

 

2 часа назад, GavrikGame сказал:

И не хочу делать действия что бы у меня каждый файл запускался от администратора.

Тогда и вредоносное ПО будет запускаться без вашего ведома. Я бы еще рекомендовал установить антивирус, а то по факту его сейчас нет. 

 

2 часа назад, GavrikGame сказал:

Получается мне щас взять и от администратора запустить прогу и пофиксить те 4 строки?

Да

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, mike 1 сказал:

Эксплуатацию уязвимостей никто не отменял в уязвимом ПО. 

 

Тогда и вредоносное ПО будет запускаться без вашего ведома. Я бы еще рекомендовал установить антивирус, а то по факту его сейчас нет. 

 

Да

Пофиксил те 4 строки что дальше?

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Zakhar62668
      От Zakhar62668
      Виндоус дефендер находит постоянно трояны, но удалить не может, также пытался установить разные антивирусы, но все они не запускаются, вылетают ошибки, а также в исключениях есть файлы, которые не удаляются. Сейчас, посмотрев форум, запустил компьютер в безопасном режиме и через флешку установил фарбар рекавери скан тулс(чтоб запустить его пришлось удалить ограничения в редакторе реестра)
    • Эльнар
      От Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • Danila05
      От Danila05
      Запускаю Avbr и каждый раз после проверки, вылетает красная строка где написан путь к файлу и пишет что трубуется перегрузка. Сколько раз не перезагружался пк, проблема остается. 

    • plotikkaroch
      От plotikkaroch
      Помогите удалить вирус NET:MALWARE.UR.
      Объект: dialer.exe.
      Угроза: NET:MALWARE.URL
      Путь:\Net\3816\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
               \Net\2508\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
      Не знаю, что для этого нужно делать и прикреплять. Поэтому прикрепил, что увидел в других похожих темах на этот счет.
      Виндовс не очень хочется переустанавливать из-за этого.
      Curelt его не обезвреживает, при повторном сканировании также появляются в списке. 
      Логи cureit, SysInfo, FRST, Addition: https://dropmefiles.com/AiGRB
    • EuroMan
      От EuroMan
      не могу это удалить мне пишется нужна перезагрузка и тд а когда я перезагружаю и проверяю оно остается

×
×
  • Создать...