Перейти к содержанию

Вирус-майнер taskhostw.exe(Realtek HD)


Рекомендуемые сообщения

Заметил что на рабочем столе нагрузка цп стала подниматься до 41% что для моего ПК очень не типично, везде смотрел и как только начал интересоваться, начали закрываться программы, антивирус установить не могу, вирус прсото запрещает это сделать. Вкладки в браузере которы могут навредить вирусу так же закрываются. Полная проверка виндовс ничего не дала. Как его удалить? И что вообще делать? 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.

 

Скачайте AV block remover. Если вирус не будет давать скачивать, скачайте на телефон и перенесите на компьютер.


Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите CollectionLog Автологером в обычном режиме загрузки согласно инструкции Порядок оформления запроса о помощи.

Ссылка на комментарий
Поделиться на другие сайты

Перепробовал всë вышесказанное, постоянно пишет: операция отменена из-за ограничений, действующих на этом компьютере. Хотя я зашëл через безопасный режим

 

Ссылка на комментарий
Поделиться на другие сайты

Попробовал разное, через время и несколько перезагрузок помогло, но файл весит 7,8кб и я не могу его прикрепить

 

Изменено пользователем Inkk
Граматическая ошибка
Ссылка на комментарий
Поделиться на другие сайты

51 минуту назад, thyrex сказал:

После перезагрузки системы соберите CollectionLog Автологером в обычном режиме загрузки согласно инструкции Порядок оформления запроса о помощи.

это тоже нужно сделать

Ссылка на комментарий
Поделиться на другие сайты

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
2025-06-23 18:31 - 2025-06-23 18:31 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
AlternateDataStreams: C:\Users\vavka\Application Data:d0353b486a0f166ba47ab293d0b1004e [394]
AlternateDataStreams: C:\Users\vavka\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394]
FirewallRules: [TCP Query User{AEA2ED6E-0C04-4C37-BF33-B0EA722DC09E}E:\steamlibrary\steamapps\common\night club simulator demo\projectvenue\binaries\win64\projectvenue-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\night club simulator demo\projectvenue\binaries\win64\projectvenue-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{1A2368DF-C1DA-4A34-9687-6615E56B409B}E:\steamlibrary\steamapps\common\night club simulator demo\projectvenue\binaries\win64\projectvenue-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\night club simulator demo\projectvenue\binaries\win64\projectvenue-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{1BC9A560-2DA4-4B5D-B3DC-DFA4671459B3}E:\steamlibrary\steamapps\common\drunken wrestlers 2\dw2.exe] => (Allow) E:\steamlibrary\steamapps\common\drunken wrestlers 2\dw2.exe => Нет файла
FirewallRules: [UDP Query User{1FD57FA3-C32A-4B72-954A-3F7E6B5BC21E}E:\steamlibrary\steamapps\common\drunken wrestlers 2\dw2.exe] => (Allow) E:\steamlibrary\steamapps\common\drunken wrestlers 2\dw2.exe => Нет файла
FirewallRules: [{E12DD3DC-93D3-49B9-9F59-459BE8AC7AD9}] => (Allow) E:\SteamLibrary\steamapps\common\MrMine\win-unpacked\Mr.Mine.exe => Нет файла
FirewallRules: [{C3D8B5CD-0D3C-4B87-9AA2-CC625AFFC592}] => (Allow) E:\SteamLibrary\steamapps\common\MrMine\win-unpacked\Mr.Mine.exe => Нет файла
FirewallRules: [{E12F1671-A1D3-4C3D-B2D3-3AF5969D5FA1}] => (Allow) E:\SteamLibrary\steamapps\common\HITMAN 3\Launcher.exe => Нет файла
FirewallRules: [{E537DB22-8FC8-4EDE-B10A-8DCF33EC34F5}] => (Allow) E:\SteamLibrary\steamapps\common\HITMAN 3\Launcher.exe => Нет файла
FirewallRules: [{D5B23083-B384-4ECB-B6DE-021BEC405B44}] => (Allow) C:\Users\vavka\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{AC3CDE2F-045D-46EB-8293-A57E3EBE9CE7}] => (Allow) C:\Users\vavka\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{4EE9E400-0EDC-415C-B681-3ED7380A12FE}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{1AE9AB92-7C6A-4771-93FB-C165E82B92E4}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{52782462-CFDB-4D05-ADE7-550D9DB72EED}] => (Block) LPort=445
FirewallRules: [{AA1D54F8-8643-46EE-851B-6228C5ABB180}] => (Block) LPort=445
FirewallRules: [{7C9E2E8B-1EB6-4942-BBD2-74B6F4316ADA}] => (Block) LPort=139
FirewallRules: [{585EEE38-81BA-4195-BA10-0533D23AE63A}] => (Block) LPort=139
FirewallRules: [{52B742F9-BE62-4ABF-BEC1-183644EC40AA}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{8D8F0FEF-B9F5-4D99-97DB-D9C6BBA4FAAE}] => (Allow) LPort=3389
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Eugene_Konovalov
      Автор Eugene_Konovalov
      Добрый день, уважаемые эксперты.
      К сожалению для себя, поймал вчера очень крепкий майнер taskhostw.exe, который, судя по всему, совсем недавно обновили, потому что у меня никак не получается его искоренить, далее по порядку:
      1. С самого же начала установил на загрузочную флешку с офф сайта свежий kaspersky rescue disk с помощью безопасного режима с сетью (т.к. вирус, как вы и сами знаете, не дает что-либо скачать и загуглить), прогнал систему через него (6 часов шла проверка), нашел около 40 файлов (10 из которых не вирус, но не важно), потом еще раз там же прогнал уже через расширенный поиск, также удалил некоторое количество файлов этого майнера, после чего зашел в систему (все также в безопасном режиме), почистил реестр в двух папках run, перезашел в систему уже без безопасного режима, но снова открылась консоль, снова он себя докачал и снова начал издеваться над моими системой и железом
      2. После данной неудачной попытки, я установил curelt (опять же, из безопасного режима), прогнал его и снова обнаружил 6 угроз, вылечил их, после чего также прогнал систему через av block remover, она автоматом перезапустилась и даже через безопасный режим вновь создала мне автозакрытие браузеров в регистре в папке run (то есть, и этот способ не помог)... уже максимально отчаявшись я сделал все необходимые логи (Curelt, DrWeb-Sysinfo, av block remover logs, а также логи из FRST64, все это я загрузил на гугл диск для удобства: https://drive.google.com/drive/folders/1vlDNd2tWZxOUIlr24QwFEnKORR9XTBzl?usp=sharing, autologger же приложил к самой теме), после чего создал эту тему
      Очень надеюсь на вашу помощь!
      PS систему мне сносить никак нельзя, у меня в ней очень много важных рабочих файлов и документов весом в более около двух терабайт, так что я их даже на внешний диск перенести не могу)
      CollectionLog-2025.05.07-12.15.zip report1.log report2.log
    • Adozel
      Автор Adozel
      В последнее время моргал монитор пк, что напрягло. Проверяла пк на вирусы через Dr.Web CureIt! обнаружил 3, которые сразу удалила. Проверяла после через Dr.Web CureIt! и вечером через kaspersky и больше ничего не нашлось. Напрягло, что иногда цп поднималось больше обычного в программах по типу word или играх в которых не повышалось так, как раньше. И повышается энергопотребление. Также заметила, что system съедает очень много трафика (подключение через кабеля). Если раньше он особо не превышал 1 гб, то сейчас 53 гб. Также диспетчер задач часто показывает долгие скачки интернета, хотя может открыта лишь одна вкладка хрома. Не уверена, что это именно, но может быть что-то серьезное?



      CollectionLog-2025.06.11-22.35.zip
    • godstar
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
    • 26alexx
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
    • Antonyy
      Автор Antonyy
      Здравствуйте, словил майнер Tool.BtcMine.2794. Пытался почистить с помощь Cure It, удаляется ровно до следующей перезагрузки ПК. логи с FRST в архиве
      111.7z
×
×
  • Создать...