Решена Как удалить Майнер taskhostw.exe

[manek]

Добрый день
Читал на форму что проблема распространенная видел что можно помочь, надеюсь на поддержку у меня Window 10 ПК работал хорошо интернет хороший, а в одни момент начала жестоко тормозить в итоге наткнулся на этот вирус на ПК через деспетчер.(Тогда он не сразу его закрывал),помоги пожалуйста ПК пользоваться не возможно (вариант переустановки операционной системы не рассматривал сразу на ПК много инфы которую очень хочу сохранить) заранее спасибо к слову этот сайт он тоже закрывает пишу с мобилки

 

[akok]

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала

после

Тема 'Правила оформления запроса о помощи'

13 Окт 2008

FAQ

Как оформить запрос о помощи в разделе лечения?​

Внимание!

Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя.
Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как это может навредить Вашей операционной системе.
Не принимайте и игнорируйте во время лечения любые рекомендации, полученные вне раздела лечения, а также в личных сообщениях. Если же вы получили такое предложение, отправьте...

• akok
• Ответы: 0
• Форум: Помощь в удалении вредоносного ПО

• 

 

[manek]

Вот

 

[akok]

1. Утилита не отработала, нужно еще раз запустить
2. System booted up in Safe Mode (no Networking) - поддержка сети нужна

 

[manek]

Понял вот

 

[akok]

Изменения в работе системы есть?
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[manek]

Вроде полегчало то что раньше моментально закрывалось теперь спокойно открывается но все равно вот файли

 

[akok]

Далее можно работать в обычном режиме.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [dllhost] => "C:\Recovery\WindowsRE\dllhost.exe" (Нет файла) <==== ВНИМАНИЕ
  HKLM\...\Run: [armsvc] => "C:\Program Files\Microsoft Update Health Tools\Logs\armsvc.exe" (Нет файла)
  HKLM\...\Run: [splwow64] => "C:\Windows\apppatch\ru-RU\splwow64.exe" (Нет файла)
  HKLM\...\Run: [sihost] => "C:\Users\Макс\Downloads\sihost.exe" (Нет файла) <==== ВНИМАНИЕ
  HKLM\...\Run: [fontdrvhost] => "C:\Unreal Commander\Graphics\fontdrvhost.exe" (Нет файла) <==== ВНИМАНИЕ
  HKLM\...\Run: [msedgewebview2] => "C:\Recovery\WindowsRE\msedgewebview2.exe" (Нет файла)
  HKLM\...\Run: [utorrentie] => "C:\Program Files (x86)\Windows Multimedia Platform\utorrentie.exe" (Нет файла)
  HKLM\...\Run: [SearchProtocolHost] => "C:\Program Files (x86)\Common Files\Services\SearchProtocolHost.exe" (Нет файла)
  HKLM\...\Run: [csrss] => "C:\Unreal Commander\dll64\csrss.exe" (Нет файла) <==== ВНИМАНИЕ
  HKLM\...\Run: [Idle] => "C:\Program Files (x86)\Adobe\Acrobat 11.0\Idle.exe" (Нет файла)
  HKLM\...\Run: [SecurityHealthService] => "C:\Recovery\WindowsRE\SecurityHealthService.exe" (Нет файла)
  HKLM\...\Run: [ShellExperienceHost] => "C:\Program Files\Microsoft Office\PackageManifests\ShellExperienceHost.exe" (Нет файла)
  HKLM\...\Run: [winlogon] => "C:\Program Files\Windows Multimedia Platform\winlogon.exe" (Нет файла) <==== ВНИМАНИЕ
  HKLM\...\Run: [smss] => "C:\Users\All Users\Шаблоны\smss.exe" (Нет файла) <==== ВНИМАНИЕ
  HKLM\...\Run: [RuntimeBroker] => "C:\Users\Все пользователи\ssh\RuntimeBroker.exe" (Нет файла)
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
  IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [dllhost] => "C:\Recovery\WindowsRE\dllhost.exe" (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [armsvc] => "C:\Program Files\Microsoft Update Health Tools\Logs\armsvc.exe" (Нет файла)
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [splwow64] => "C:\Windows\apppatch\ru-RU\splwow64.exe" (Нет файла)
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [sihost] => "C:\Users\Макс\Downloads\sihost.exe" (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [fontdrvhost] => "C:\Unreal Commander\Graphics\fontdrvhost.exe" (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [msedgewebview2] => "C:\Recovery\WindowsRE\msedgewebview2.exe" (Нет файла)
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [utorrentie] => "C:\Program Files (x86)\Windows Multimedia Platform\utorrentie.exe" (Нет файла)
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [SearchProtocolHost] => "C:\Program Files (x86)\Common Files\Services\SearchProtocolHost.exe" (Нет файла)
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [csrss] => "C:\Unreal Commander\dll64\csrss.exe" (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [Idle] => "C:\Program Files (x86)\Adobe\Acrobat 11.0\Idle.exe" (Нет файла)
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [SecurityHealthService] => "C:\Recovery\WindowsRE\SecurityHealthService.exe" (Нет файла)
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [ShellExperienceHost] => "C:\Program Files\Microsoft Office\PackageManifests\ShellExperienceHost.exe" (Нет файла)
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [winlogon] => "C:\Program Files\Windows Multimedia Platform\winlogon.exe" (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [smss] => "C:\Users\All Users\Шаблоны\smss.exe" (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [RuntimeBroker] => "C:\Users\Все пользователи\ssh\RuntimeBroker.exe" (Нет файла)
  HKU\S-1-5-21-2459991290-1729613543-1121963060-1002\...\Run: [MediaGet2] => "C:\Users\Макс\MediaGet2\mediaget.exe" --minimized (Нет файла)
  HKU\S-1-5-18\...\RunOnce: [SystemUsesLightTheme] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize" /v "SystemUsesLightTheme" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-18\...\RunOnce: [AppsUseLightTheme] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize" /v "AppsUseLightTheme" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
  Task: {40187F5C-3F0A-4456-9D97-53F1AC120B0C} - System32\Tasks\armsvc => "C:\Program Files\Microsoft Update Health Tools\Logs\armsvc.exe"  (Нет файла)
  Task: {077C7F27-98B8-4087-A322-D4B030DC24C2} - System32\Tasks\armsvca => "C:\Program Files\Microsoft Update Health Tools\Logs\armsvc.exe"  (Нет файла)
  Task: {36E24092-2E73-4BCC-BF8C-FA1081CFA1E0} - System32\Tasks\csrss => "C:\Unreal Commander\dll64\csrss.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {80B65B2F-3F93-40E8-B3A0-7CDBB5BC355A} - System32\Tasks\csrssc => "C:\Unreal Commander\dll64\csrss.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {FE9A62A3-B1E0-482D-9F50-9DD2EFA8D267} - System32\Tasks\dllhost => "C:\Recovery\WindowsRE\dllhost.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {03DF6CEB-8ED6-43AE-B8DC-0D6D8E456041} - System32\Tasks\dllhostd => "C:\Recovery\WindowsRE\dllhost.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {4369B560-DDDF-4AFF-AE15-8865BD548497} - System32\Tasks\fontdrvhost => "C:\Unreal Commander\Graphics\fontdrvhost.exe"  (Нет файла)
  Task: {44AF7536-094E-4C4B-ACA8-16D402B06C08} - System32\Tasks\fontdrvhostf => "C:\Unreal Commander\Graphics\fontdrvhost.exe"  (Нет файла)
  Task: {65D4BD9B-B5A6-4DB6-8960-52F6B7729F99} - System32\Tasks\Idle => "C:\Program Files (x86)\Adobe\Acrobat 11.0\Idle.exe"  (Нет файла)
  Task: {15EC08CE-8076-4D18-B74D-5D3842E501E8} - System32\Tasks\IdleI => "C:\Program Files (x86)\Adobe\Acrobat 11.0\Idle.exe"  (Нет файла)
  Task: {F91DFCAC-5EE7-4EC8-8310-72A8CAB59FAE} - System32\Tasks\Microsoft\Windows\GlobalDataA\RecoveryHosts => C:\ProgramData\Microsoft\DRM\bIvFneUawOzz5O66\GlobalDataA.bat  (Нет файла) <==== ВНИМАНИЕ
  Task: {CC017A8E-E990-48FD-A9A4-EC5C0ED9CECA} - System32\Tasks\msedgewebview2 => "C:\Recovery\WindowsRE\msedgewebview2.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {CCC832A5-9CC2-4AD7-A0A7-6AC15F53F6A8} - System32\Tasks\msedgewebview2m => "C:\Recovery\WindowsRE\msedgewebview2.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {267F3BAD-E95E-4D12-835F-BA4B2285023C} - System32\Tasks\RuntimeBroker => "C:\Users\Все пользователи\ssh\RuntimeBroker.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {B7FB3276-E561-411E-B2A8-7D1C1AD9041A} - System32\Tasks\RuntimeBrokerR => "C:\Users\Все пользователи\ssh\RuntimeBroker.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {79BB4D9F-7DBA-4D05-9FFF-6B6C5B1FCD0F} - System32\Tasks\SearchProtocolHost => "C:\Program Files (x86)\Common Files\Services\SearchProtocolHost.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {ABDF74AF-3BD1-4B77-AB68-5240CB8F9A4B} - System32\Tasks\SearchProtocolHostS => "C:\Program Files (x86)\Common Files\Services\SearchProtocolHost.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {D7A9FFAF-32B8-4993-ACA5-040A02F91B41} - System32\Tasks\SecurityHealthService => "C:\Recovery\WindowsRE\SecurityHealthService.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {71C94F78-314C-4E11-8165-8C6E635CA670} - System32\Tasks\SecurityHealthServiceS => "C:\Recovery\WindowsRE\SecurityHealthService.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {BF223389-093D-419F-94D8-E0427DE1EEC1} - System32\Tasks\ShellExperienceHost => "C:\Program Files\Microsoft Office\PackageManifests\ShellExperienceHost.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {051776EA-0E6D-4CA3-8DC7-B66E75F0200C} - System32\Tasks\ShellExperienceHostS => "C:\Program Files\Microsoft Office\PackageManifests\ShellExperienceHost.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {F8E94BDD-21B1-42AF-8C8A-8EE7BCB4EEC9} - System32\Tasks\sihost => "C:\Users\Макс\Downloads\sihost.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {CFD637A0-9261-4BD1-A9A0-918FBB525664} - System32\Tasks\sihosts => "C:\Users\Макс\Downloads\sihost.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {CA9E4B0B-E4C1-4AB8-9305-B24303E49DD3} - System32\Tasks\smss => "C:\Users\All Users\Шаблоны\smss.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {BC183671-8CDB-47DE-B3AF-93C4423AEDDB} - System32\Tasks\smsss => "C:\Users\All Users\Шаблоны\smss.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {BA28C62C-35C9-4D92-A203-1C826FD4B236} - System32\Tasks\splwow64 => "C:\Windows\apppatch\ru-RU\splwow64.exe"  (Нет файла)
  Task: {00CCB4ED-005D-460D-8784-B6D2BBE14A5D} - System32\Tasks\splwow64s => "C:\Windows\apppatch\ru-RU\splwow64.exe"  (Нет файла)
  Task: {953E1F98-389C-490A-AF21-F9D44CAAB661} - System32\Tasks\utorrentie => "C:\Program Files (x86)\Windows Multimedia Platform\utorrentie.exe"  (Нет файла)
  Task: {362CB6C4-A19F-4E1A-9099-8E178D9269CE} - System32\Tasks\utorrentieu => "C:\Program Files (x86)\Windows Multimedia Platform\utorrentie.exe"  (Нет файла)
  Task: {1674252E-3EB2-48AB-AF18-0009A1327155} - System32\Tasks\winlogon => "C:\Program Files\Windows Multimedia Platform\winlogon.exe"  (Нет файла) <==== ВНИМАНИЕ
  Task: {86A3A800-B5EC-4CE9-B256-6AC0E891B7FC} - System32\Tasks\winlogonw => "C:\Program Files\Windows Multimedia Platform\winlogon.exe"  (Нет файла) <==== ВНИМАНИЕ
  U4 dcpsvc; отсутствует ImagePath
  U4 DiagTrack; отсутствует ImagePath
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [760]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [760]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [760]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [760]
  AlternateDataStreams: C:\Users\Макс\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Макс\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Макс\Application Data:NT2 [760]
  AlternateDataStreams: C:\Users\Макс\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Макс\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Макс\AppData\Roaming:NT2 [760]
  Hosts:
  Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
  cmd: netsh advfirewall reset
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

проведем сканирование KVRT

 

[manek]

вот

 

[akok]

Жду логи kvrt

 

[manek]

вот

 

[akok]

И похоже в ваша сборка ос с сюрпризом, а именно со стиллером (пароли уже украли, скорее всего). И окончательное лечение лучше проводить при помощи livecd

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Task: {3CD413B8-9C9D-40A2-84D3-E5527D58F091} - System32\Tasks\Microsoft\Windows\License Manager\License Validation => C:\Windows\Installer\iscsicli.exe [91880 2023-03-08] (Microsoft Windows -> Microsoft Corporation) [Файл не подписан]
  C:\Windows\Installer\iscsicli.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

lua51.asi Info="HEUR:Trojan-GameThief.Win32.GrandSteal.gen" - эта зараза крадет пароли и логины в он-лайн играх.
Microsoft.Office.2021x64.v2022.06.iso" Info="UDS:Trojan-Spy.MSIL.Stealer.dn - тоже шпион

Как и думал, поудаляем неактивное на этом этапе, а именно удаляем все кроме:

• MediaGet.get - его лучше деинсталлировать штатными средствами
• Оставляем все связанное с активаторами
• И с приставкой not-a-virus

 

[manek]

поудалял все что смог (Фикс делал до удаления)

 

[akok]

поудалял все что смог (Фикс делал до удаления)

так удалять должен KVRT (или вы в рукопашную ходили?)

Проверяйте как система поживает. Ну и про сканирование всего под livecd не забывайте.

 

[manek]

ааа ясно,я вручную пошёл,но после вашего комментария дал доделать роботу KVRT,и еще вопрос я так понимаю для livecd нужен внешний накопитель? если да то у меня пока его нет а буквально завтра уезжать в другой город,так что купить быстро не смогу

забыл дописать систем работает хорошо то что не открывалось, открывается,все работает быстро ,звуки боинга с компа ушли

 

[akok]

Проверка livecd, больше страховка, сделаете после. А пока завершающие шаги
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

Ознакомьтесь: Рекомендации после лечения

 

[manek]

FRST удалил

 

[akok]

Исправьте по возможности и удачи.
------------------------------- [ HotFix ] --------------------------------
HotFix KB5058379 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.4.7 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20324 Внимание! Скачать обновления
Microsoft Office LTSC Professional Plus 2021 - uk-ua v.16.0.14332.20324 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Приложение NVIDIA 11.0.3.232 v.11.0.3.232 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.21 (64-разрядная) v.6.21.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9011 Внимание! Скачать обновления
Zoom Workplace v.6.4.7 (64367) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.47196 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u451-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.136.0.7103.114 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

[manek]

спасибо большое, удачи вам.