Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус-майнер taskhostw.exe(Realtek HD)

Inkk

Автор Inkk
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Inkk

Inkk

Опубликовано
Опубликовано

Заметил что на рабочем столе нагрузка цп стала подниматься до 41% что для моего ПК очень не типично, везде смотрел и как только начал интересоваться, начали закрываться программы, антивирус установить не могу, вирус прсото запрещает это сделать. Вкладки в браузере которы могут навредить вирусу так же закрываются. Полная проверка виндовс ничего не дала. Как его удалить? И что вообще делать? 

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Скачайте AV block remover. Если вирус не будет давать скачивать, скачайте на телефон и перенесите на компьютер.


Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите CollectionLog Автологером в обычном режиме загрузки согласно инструкции Порядок оформления запроса о помощи.

Ссылка на комментарий
Поделиться на другие сайты
Inkk

Inkk

Опубликовано
  • Автор
Опубликовано

Перепробовал всë вышесказанное, постоянно пишет: операция отменена из-за ограничений, действующих на этом компьютере. Хотя я зашëл через безопасный режим

 

Ссылка на комментарий
Поделиться на другие сайты
Inkk

Inkk

Опубликовано
  • Автор
Опубликовано (изменено)

Попробовал разное, через время и несколько перезагрузок помогло, но файл весит 7,8кб и я не могу его прикрепить

 

Изменено пользователем Inkk
Граматическая ошибка
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Файл менее 8 килобайт можно прикрепить, даже не архивируя его. Возможно Вы что-то не то пытаетесь прикрепить.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано
51 минуту назад, thyrex сказал:

После перезагрузки системы соберите CollectionLog Автологером в обычном режиме загрузки согласно инструкции Порядок оформления запроса о помощи.

это тоже нужно сделать

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
2025-06-23 18:31 - 2025-06-23 18:31 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
AlternateDataStreams: C:\Users\vavka\Application Data:d0353b486a0f166ba47ab293d0b1004e [394]
AlternateDataStreams: C:\Users\vavka\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394]
FirewallRules: [TCP Query User{AEA2ED6E-0C04-4C37-BF33-B0EA722DC09E}E:\steamlibrary\steamapps\common\night club simulator demo\projectvenue\binaries\win64\projectvenue-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\night club simulator demo\projectvenue\binaries\win64\projectvenue-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{1A2368DF-C1DA-4A34-9687-6615E56B409B}E:\steamlibrary\steamapps\common\night club simulator demo\projectvenue\binaries\win64\projectvenue-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\night club simulator demo\projectvenue\binaries\win64\projectvenue-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{1BC9A560-2DA4-4B5D-B3DC-DFA4671459B3}E:\steamlibrary\steamapps\common\drunken wrestlers 2\dw2.exe] => (Allow) E:\steamlibrary\steamapps\common\drunken wrestlers 2\dw2.exe => Нет файла
FirewallRules: [UDP Query User{1FD57FA3-C32A-4B72-954A-3F7E6B5BC21E}E:\steamlibrary\steamapps\common\drunken wrestlers 2\dw2.exe] => (Allow) E:\steamlibrary\steamapps\common\drunken wrestlers 2\dw2.exe => Нет файла
FirewallRules: [{E12DD3DC-93D3-49B9-9F59-459BE8AC7AD9}] => (Allow) E:\SteamLibrary\steamapps\common\MrMine\win-unpacked\Mr.Mine.exe => Нет файла
FirewallRules: [{C3D8B5CD-0D3C-4B87-9AA2-CC625AFFC592}] => (Allow) E:\SteamLibrary\steamapps\common\MrMine\win-unpacked\Mr.Mine.exe => Нет файла
FirewallRules: [{E12F1671-A1D3-4C3D-B2D3-3AF5969D5FA1}] => (Allow) E:\SteamLibrary\steamapps\common\HITMAN 3\Launcher.exe => Нет файла
FirewallRules: [{E537DB22-8FC8-4EDE-B10A-8DCF33EC34F5}] => (Allow) E:\SteamLibrary\steamapps\common\HITMAN 3\Launcher.exe => Нет файла
FirewallRules: [{D5B23083-B384-4ECB-B6DE-021BEC405B44}] => (Allow) C:\Users\vavka\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{AC3CDE2F-045D-46EB-8293-A57E3EBE9CE7}] => (Allow) C:\Users\vavka\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{4EE9E400-0EDC-415C-B681-3ED7380A12FE}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{1AE9AB92-7C6A-4771-93FB-C165E82B92E4}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{52782462-CFDB-4D05-ADE7-550D9DB72EED}] => (Block) LPort=445
FirewallRules: [{AA1D54F8-8643-46EE-851B-6228C5ABB180}] => (Block) LPort=445
FirewallRules: [{7C9E2E8B-1EB6-4942-BBD2-74B6F4316ADA}] => (Block) LPort=139
FirewallRules: [{585EEE38-81BA-4195-BA10-0533D23AE63A}] => (Block) LPort=139
FirewallRules: [{52B742F9-BE62-4ABF-BEC1-183644EC40AA}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{8D8F0FEF-B9F5-4D99-97DB-D9C6BBA4FAAE}] => (Allow) LPort=3389
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • shepp0
      [РЕШЕНО] Неудаляемый вирус майнер XMrig
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • PhernulNathral
      Представляют ли опасность файлы taskhostw.exe находящиеся в папке WinSxS?
      Автор PhernulNathral
      3 файла в этой папке,а 2 файла в папке servicing, одинаковые файлы taskhostw.exe
      CollectionLog-2025.07.28-22.44.zip
    • Eugene_Konovalov
      [РЕШЕНО] Проблема с майнером John, Taskhostw.exe или как его еще называют RealtekHD
      Автор Eugene_Konovalov
      Добрый день, уважаемые эксперты.
      К сожалению для себя, поймал вчера очень крепкий майнер taskhostw.exe, который, судя по всему, совсем недавно обновили, потому что у меня никак не получается его искоренить, далее по порядку:
      1. С самого же начала установил на загрузочную флешку с офф сайта свежий kaspersky rescue disk с помощью безопасного режима с сетью (т.к. вирус, как вы и сами знаете, не дает что-либо скачать и загуглить), прогнал систему через него (6 часов шла проверка), нашел около 40 файлов (10 из которых не вирус, но не важно), потом еще раз там же прогнал уже через расширенный поиск, также удалил некоторое количество файлов этого майнера, после чего зашел в систему (все также в безопасном режиме), почистил реестр в двух папках run, перезашел в систему уже без безопасного режима, но снова открылась консоль, снова он себя докачал и снова начал издеваться над моими системой и железом
      2. После данной неудачной попытки, я установил curelt (опять же, из безопасного режима), прогнал его и снова обнаружил 6 угроз, вылечил их, после чего также прогнал систему через av block remover, она автоматом перезапустилась и даже через безопасный режим вновь создала мне автозакрытие браузеров в регистре в папке run (то есть, и этот способ не помог)... уже максимально отчаявшись я сделал все необходимые логи (Curelt, DrWeb-Sysinfo, av block remover logs, а также логи из FRST64, все это я загрузил на гугл диск для удобства: https://drive.google.com/drive/folders/1vlDNd2tWZxOUIlr24QwFEnKORR9XTBzl?usp=sharing, autologger же приложил к самой теме), после чего создал эту тему
      Очень надеюсь на вашу помощь!
      PS систему мне сносить никак нельзя, у меня в ней очень много важных рабочих файлов и документов весом в более около двух терабайт, так что я их даже на внешний диск перенести не могу)
      CollectionLog-2025.05.07-12.15.zip report1.log report2.log
    • AbzalRai
      Вирус переименовал службы. очередной майнер
      Автор AbzalRai
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 
      Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 
       
      Logs.rar
×
×
  • Создать...