[РЕШЕНО] Помогите удалить вирус taskhost

[mike 1]

Это так и не пофиксили:

 

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

 

Далее cкачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[GavrikGame]

8 минут назад, mike 1 сказал:

Это так и не пофиксили:

 

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

 

Далее cкачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

Держите!

Addition.txt FRST.txt

[mike 1]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  CloseProcesses:
  Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
  2024-06-13 14:56 - 2024-06-13 14:56 - 000012609 _____ C:\ProgramData\vxnylktj.vfa
  2024-06-13 14:56 - 2024-06-13 14:56 - 000000016 _____ C:\ProgramData\mntemp
  Unblock: C:\Users\gavri\OneDrive\Desktop\AV_block_remover
  Unblock: C:\Users\gavri\OneDrive\Desktop\AutoLogger
  C:\Program Files\ReasonLabs
  C:\Program Files (x86)\Wise
  Folder: C:\FRST\Quarantine
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

[GavrikGame]

4 минуты назад, mike 1 сказал:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  CloseProcesses:
  Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
  2024-06-13 14:56 - 2024-06-13 14:56 - 000012609 _____ C:\ProgramData\vxnylktj.vfa
  2024-06-13 14:56 - 2024-06-13 14:56 - 000000016 _____ C:\ProgramData\mntemp
  Unblock: C:\Users\gavri\OneDrive\Desktop\AV_block_remover
  Unblock: C:\Users\gavri\OneDrive\Desktop\AutoLogger
  C:\Program Files\ReasonLabs
  C:\Program Files (x86)\Wise
  Folder: C:\FRST\Quarantine
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Держите!

Fixlog.txt

[mike 1]

Что с проблемой?

[GavrikGame]

Только что, mike 1 сказал:

Что с проблемой?

Ну как я и сказал раньше вроде всё норм, хз за что эти 4 строки отвечали.
мб опять сделать логи и вам скинуть?

[GavrikGame]

8 минут назад, mike 1 сказал:

Что с проблемой?

Майк?

[thyrex]

Помощь оказывается добровольно в свободное от основных занятий время. Наберитесь терпения и ждите.

[GavrikGame]

26 минут назад, mike 1 сказал:

Что с проблемой?

Логи заново сделал, те 4 полиции так и остались, curelt ничё не находит.
Майк, хочу сказать спасибо вам с Тирексом, что уделили мне время и помогаете таким, как я, премного благодарен.
Сорян, что тупил, впервые на подобные форумы обращаюсь и пользуюсь прогами, которые были использованы для решения моей проблемы.
Спасибо вам!

[mike 1]

13 минут назад, GavrikGame сказал:

Логи заново сделал, те 4 полиции так и остались

От имени Администратора запускаете HiJackThis? 

 

• Загрузите SecurityCheck by glax24 & Severnyjотсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

 

[GavrikGame]

5 минут назад, mike 1 сказал:

От имени Администратора запускаете HiJackThis? 

 

 

• Загрузите SecurityCheck by glax24 & Severnyjотсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

Подробнее читайте в этом разделе форума поддержки утилиты.

 

1 раз только запускал прогу HiJackThis, когда вы попросили. запускал не от имени администратора!
Держите!

SecurityCheck.txt

Изменено 9 июля, 2024 пользователем GavrikGame

[mike 1]

24 минуты назад, GavrikGame сказал:

1 раз только запускал прогу HiJackThis, когда вы попросили. запускал не от имени администратора!

Надо запускать от имени Администратора.

 

Исправьте и обновите:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Windows Defender (отключен)

Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
 

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.30.30704 v.14.30.30704.0 Внимание! Скачать обновления
Zoom Workplace v.6.0.11 (39959) Внимание! Скачать обновления
Yandex v.24.6.1.766 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

[GavrikGame]

3 минуты назад, mike 1 сказал:

Надо запускать от имени Администратора.

 

Исправьте и обновите:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Windows Defender (отключен)

Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
 

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.30.30704 v.14.30.30704.0 Внимание! Скачать обновления
Zoom Workplace v.6.0.11 (39959) Внимание! Скачать обновления
Yandex v.24.6.1.766 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Обновлять ПО я не хочу и да и не зачем, браузер и так у меня выше версии 24.6.2.787
И не хочу делать действия что бы у меня каждый файл запускался от администратора.
Получается мне щас взять и от администратора запустить прогу и пофиксить те 4 строки?

[mike 1]

2 часа назад, GavrikGame сказал:

Обновлять ПО я не хочу и да и не зачем, браузер и так у меня выше версии 24.6.2.787

Эксплуатацию уязвимостей никто не отменял в уязвимом ПО. 

 

2 часа назад, GavrikGame сказал:

И не хочу делать действия что бы у меня каждый файл запускался от администратора.

Тогда и вредоносное ПО будет запускаться без вашего ведома. Я бы еще рекомендовал установить антивирус, а то по факту его сейчас нет. 

 

2 часа назад, GavrikGame сказал:

Получается мне щас взять и от администратора запустить прогу и пофиксить те 4 строки?

Да

[GavrikGame]

3 часа назад, mike 1 сказал:

Эксплуатацию уязвимостей никто не отменял в уязвимом ПО. 

 

Тогда и вредоносное ПО будет запускаться без вашего ведома. Я бы еще рекомендовал установить антивирус, а то по факту его сейчас нет. 

 

Да

Пофиксил те 4 строки что дальше?