Решена Майнер taskhostw

Статус
В этой теме нельзя размещать новые ответы.

JerkFace

Новый пользователь
Сообщения
6
Реакции
0
Добрый день! Стал очередной жертвой майнера taskhostw, симптомы все стандартные, описанные в аналогичных темах: блокировка форумов/сайтов с антивирусами, загрузка процессора, неубиваемый сервис taskhostw и т.д.

Железка:
Intel(R) Core(TM) i5-4670 под Windows 10 Pro версии 21H2

Что было сделано:

  1. Выполнен запуск системы в безопасном режиме
  2. Установлена актуальная версия утилиты AV block remover
  3. Запущен скрипт в безопасном режиме
  4. Система перезагрузилась
  5. Был выполнен вход в систему в обычном режиме
  6. Повторно запущен скрипт в обычном режиме операционной системы
После произведенных процедур проблема, на первый взгляд, решена. Прикладываю файлы с логами с разницей в 11 минут:
Лог лечения в безопасном режиме: Safe mode_AV_block_remove_2022.08.16-17.37.log
Лог лечения в обычном режиме: Regular_mode_AV_block_remove_2022.08.16-17.48.log

Благодарю за помощь!
 

Вложения

  • Regular_mode_AV_block_remove_2022.08.16-17.48.log
    8.3 KB · Просмотры: 3
  • Safe mode_AV_block_remove_2022.08.16-17.37.log
    6 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,773
Реакции
14,255
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

JerkFace

Новый пользователь
Сообщения
6
Реакции
0
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Скачал, отсканировал
 

Вложения

  • FRST.txt
    80.1 KB · Просмотры: 6
  • Addition.txt
    58.7 KB · Просмотры: 4

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,773
Реакции
14,255
Проверьте, работает ли Malwarebytes

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    IFEO\MusNotification.exe: [Debugger] C:\Windows\system32\systray.exe
    IFEO\MusNotifyIcon.exe: [Debugger] C:\Windows\system32\systray.exe
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2748983167-2998674728-760925844-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2748983167-2998674728-760925844-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
    ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
    ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
    ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
    ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
    ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
    ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
    ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log:F107EE40EF [10]
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer2.log_backup1:0544EFE2DB [10]
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer3.log_backup1:A473474DD2 [10]
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer4.log:3B2EC2BDEF [10]
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer4.log_backup1:DC5D04D24A [10]
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer6.log:4C1811BCCA [10]
    AlternateDataStreams: C:\ProgramData\DisplaySessionContainer6.log_backup1:AC11A713EE [10]
    AlternateDataStreams: C:\ProgramData\NvcDispCorePlugin.log:AAE9D2281E [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acronis True Image OEM.lnk:AEAB25D6F4 [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype for Business.lnk:7D9589121D [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sublime Text 3.lnk:B0FCB9B010 [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [10]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

JerkFace

Новый пользователь
Сообщения
6
Реакции
0
Malwarebytes выдает ошибку доступа, файлы приложил.
Служба Malwarebytes так же реагирует.
1660672972633.png
 

Вложения

  • Fixlog.txt
    9.1 KB · Просмотры: 2
  • 1660672781751.png
    1660672781751.png
    4 KB · Просмотры: 2

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,213
Реакции
2,656
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код:
Start::
CreateRestorePoint:
Unlock: C:\Program Files\Malwarebytes
Unlock: C:\ProgramData\Malwarebytes
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Проверьте теперь запуск Malwarebytes.
 

JerkFace

Новый пользователь
Сообщения
6
Реакции
0
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код:
Start::
CreateRestorePoint:
Unlock: C:\Program Files\Malwarebytes
Unlock: C:\ProgramData\Malwarebytes
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Проверьте теперь запуск Malwarebytes.
Выполнил скрипт, Malwarebytes разблокировало.
В закрепе дополнительно отчет сканирования Malwarebytes
 

Вложения

  • Fixlog.txt
    885 байт · Просмотры: 1
  • report.txt
    10.7 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,773
Реакции
14,255
Удалив все найденное, вы себе активатор удалили (KMSAuto). Завершаем тогда

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
 

JerkFace

Новый пользователь
Сообщения
6
Реакции
0
Удалив все найденное, вы себе активатор удалили (KMSAuto). Завершаем тогда

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
Готово
 

Вложения

  • SecurityCheck.txt
    14.2 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,773
Реакции
14,255
Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Центр обеспечения безопасности (wscsvc) - Служба работает
--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.23.0.windows.1 v.2.23.0.windows.1 Внимание! Скачать обновления
Node.js v.14.17.6 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft Visual Studio Code (User) v.1.60.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype для бизнеса базовый 2016 - ru-ru v.16.0.15427.20210 Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать Microsoft Teams.
Discord v.0.0.309 Внимание! Скачать обновления
Slack v.4.18.0 Внимание! Скачать обновления
Microsoft Teams v.1.4.00.2781 Внимание! Скачать обновления
Zoom v.5.2.1 (44052.0816) Внимание! Скачать обновления
Skype, версия 8.73 v.8.73 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.100.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype для бизнеса базовый 2016 - ru-ru v.16.0.15427.20210 Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать Microsoft Teams.
Discord v.0.0.309 Внимание! Скачать обновления
Slack v.4.18.0 Внимание! Скачать обновления
Microsoft Teams v.1.4.00.2781 Внимание! Скачать обновления
Zoom v.5.2.1 (44052.0816) Внимание! Скачать обновления
Skype, версия 8.73 v.8.73 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 281 (64-bit) v.8.0.2810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-x64.exe - Windows Offline (64-bit))^
Java SE Development Kit 8 Update 281 (64-bit) v.8.0.2810.9 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-18_windows-x64_bin.exe).


Если не используете, то можно деинсталлировать
Bonjour и Кнопка "Яндекс" на панели задач
 

JerkFace

Новый пользователь
Сообщения
6
Реакции
0
Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Центр обеспечения безопасности (wscsvc) - Служба работает
--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.23.0.windows.1 v.2.23.0.windows.1 Внимание! Скачать обновления
Node.js v.14.17.6 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft Visual Studio Code (User) v.1.60.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype для бизнеса базовый 2016 - ru-ru v.16.0.15427.20210 Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать Microsoft Teams.
Discord v.0.0.309 Внимание! Скачать обновления
Slack v.4.18.0 Внимание! Скачать обновления
Microsoft Teams v.1.4.00.2781 Внимание! Скачать обновления
Zoom v.5.2.1 (44052.0816) Внимание! Скачать обновления
Skype, версия 8.73 v.8.73 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.100.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype для бизнеса базовый 2016 - ru-ru v.16.0.15427.20210 Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать Microsoft Teams.
Discord v.0.0.309 Внимание! Скачать обновления
Slack v.4.18.0 Внимание! Скачать обновления
Microsoft Teams v.1.4.00.2781 Внимание! Скачать обновления
Zoom v.5.2.1 (44052.0816) Внимание! Скачать обновления
Skype, версия 8.73 v.8.73 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 281 (64-bit) v.8.0.2810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-x64.exe - Windows Offline (64-bit))^
Java SE Development Kit 8 Update 281 (64-bit) v.8.0.2810.9 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-18_windows-x64_bin.exe).


Если не используете, то можно деинсталлировать
Bonjour и Кнопка "Яндекс" на панели задач
Понял, исправлю. Большое спасибо за оперативную помощь!
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,773
Реакции
14,255
Удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу