Решена Поймал вирус taskhostw, agentinformer и update

Статус
В этой теме нельзя размещать новые ответы.

olker

Участник
Сообщения
55
Реакции
3
Здравствуйте! Скорей всего подхватил вирус с игровых торрентов. Понял, что компьютер заражён когда с криптовалютного кошелька списали все деньги, начал копаться и нашёл несколько посторонних расширений в хроме (savematic, gifty box), потом несколько подозрительных exe в автозагрузке. Когда перехожу по расположению этих файлов - то их там не обнаруживается, даже с настройками показа системных и скрытых файлом.

Отчистил папки temp и запустил утилиту AV block remover (AVbr) 2021.06.04 - она удалила созданную вирусом учётную запись John, но exe в автозагрузке остались. Потом наткнулся на форуме на сообщения, что по информации с других веток лечить свой ПК не нужно.

2022-08-05 12-09-00 Скриншот экрана.jpg

В следующем сообщении прикреплю логи из AutoLogger.

 

Вложения

  • AV_block_remove_2022.08.05-14.34.log
    13.2 KB · Просмотры: 5
Здравствуйте!

Ждём.
 
Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Пробуйте запускать в нормальном режиме.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Готово
 

Вложения

  • Addition.txt
    92.8 KB · Просмотры: 5
  • FRST.txt
    66.7 KB · Просмотры: 5
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\60.0.2.0\GoogleDriveFS.exe --startup_mode (Нет файла)
    HKU\S-1-5-20\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\60.0.2.0\GoogleDriveFS.exe --startup_mode (Нет файла)
    HKU\S-1-5-21-1103117601-2281059563-41967193-1001\...\Run: [movavi_suite_agent] => "C:\Program Files\Movavi Video Suite 21\AgentInformer.exe" (Нет файла)
    HKU\S-1-5-18\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\60.0.2.0\GoogleDriveFS.exe --startup_mode (Нет файла)
    AV: Kaspersky Total Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    AlternateDataStreams: C:\Users\1\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\1\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Готово
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\60.0.2.0\GoogleDriveFS.exe --startup_mode (Нет файла)
    HKU\S-1-5-20\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\60.0.2.0\GoogleDriveFS.exe --startup_mode (Нет файла)
    HKU\S-1-5-21-1103117601-2281059563-41967193-1001\...\Run: [movavi_suite_agent] => "C:\Program Files\Movavi Video Suite 21\AgentInformer.exe" (Нет файла)
    HKU\S-1-5-18\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\60.0.2.0\GoogleDriveFS.exe --startup_mode (Нет файла)
    AV: Kaspersky Total Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    AlternateDataStreams: C:\Users\1\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\1\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

  • Fixlog.txt
    4 KB · Просмотры: 5
Запустите, пожалуйста, ещё раз Автологер в нормальном режиме и покажите результат в виде очередного файла CollectionLog.
 
Запустите ещё раз AVbr из нормального режима и покажите его новый отчёт.
 
Вот
 

Вложения

  • AV_block_remove_2022.08.05-17.10.log
    11.5 KB · Просмотры: 5
Защитник, ESET Security и Malwarebytes version 4.5.12.204 перед запуском Автологера отключаете?

Сделайте с помощью Malwarebytes полную проверку, результат сохраните в текстовый файл и прикрепите к следующему сообщению.
 
ESET отключал, а Malwarebytes - запустить не могу, т.к. он установился в папку к которой нет доступа у моей учетной записи. Я так понял.
 

Вложения

  • 9E31CA35-8D5D-4997-92C4-E3EF024CA107.jpeg
    9E31CA35-8D5D-4997-92C4-E3EF024CA107.jpeg
    161.8 KB · Просмотры: 40
Вот так
 

Вложения

  • ab63fdac7fa35e9e26da6a3cbec39d4f.png
    ab63fdac7fa35e9e26da6a3cbec39d4f.png
    97.4 KB · Просмотры: 35
Понятно. Удалите старые и соберите новые FRST.txt и Addition.txt
 
Могу попробовать удалить Malwarebytes через Приложения и возможности. Нужно это?
 
Здесь дополнительно ничего не нужно отмечать? Запускать так?
 

Вложения

  • 08CF567B-DAF8-4CD4-A0D3-F90B3C70F563.jpeg
    08CF567B-DAF8-4CD4-A0D3-F90B3C70F563.jpeg
    107.6 KB · Просмотры: 44
Попробуйте, но скорее всего не получится.
Попробуйте ещё спец-утилитой:

• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу