Решена Поймал вирусы - taskhost.exe, MicrosoftHost.exe, может еще что то, не уследил.

Статус
В этой теме нельзя размещать новые ответы.

Artur19901511

Новый пользователь
Сообщения
8
Реакции
0
Добрый день, после скачивания с торрента приложений не обратил внимание на название и запустил установщик вируса, потенциальный зловредитель был "Game Repack ot xatab 1.0"
самостоятельно выполнить лечение через Др веб куирит не удалось, виндовс дефендер ничего не видит. ограничили доступы в приложение ARMOURY CRATE и т.п. так же столкнулся с тем что не устанавливается MBSetup (после переименования устанавливается но не видно куда, поисковик не видит его).
во вложение логи на 31.09.2022 3:56 (+2 мск).
Помогите пожалуйста разобраться с ними.
 

Вложения

  • Addition.txt
    66.4 KB · Просмотры: 4
  • FRST.txt
    71.9 KB · Просмотры: 6
  • Shortcut.txt
    59.7 KB · Просмотры: 2
  • не запускается приложение.JPG
    не запускается приложение.JPG
    14.5 KB · Просмотры: 40
  • скрин Кирита 31.09.2022 4-15 +2мскJPG.JPG
    скрин Кирита 31.09.2022 4-15 +2мскJPG.JPG
    40.9 KB · Просмотры: 37
Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 
Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
Добрый день, вот логи до и после перезагрузки.
 

Вложения

  • AV_block_remove_2022.08.31-12.16.log
    9.1 KB · Просмотры: 1
  • AV_block_remove_2022.08.31-12.20.log
    6.4 KB · Просмотры: 1
Хорошо, продолжаем.

1.
Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Хорошо, продолжаем.

1.
Файл CheckBrowserLnk.log
из папки
перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
готово.
 

Вложения

  • ClearLNK-2022.08.31_12.49.54.log
    6.9 KB · Просмотры: 1
  • Addition.txt
    77.3 KB · Просмотры: 3
  • FRST.txt
    66.4 KB · Просмотры: 3
Не обязательно полностью цитировать предыдущее сообщение.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-21-2283320400-3069864412-35804586-1001\...\MountPoints2: {375adb4d-fd35-11ec-96c1-ec2e9884ddfa} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2283320400-3069864412-35804586-1001\...\MountPoints2: {522361b5-1dfa-11ed-9702-ec2e9884ddfa} - "E:\HiSuiteDownLoader.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CHR StartupUrls: Default -> "hxxp://google.com/","hxxp://mail.ru/cnt/10445?gp=openpart2","hxxp://mail.ru/cnt/10445?gp=820031","hxxp://mail.ru/cnt/10445?gp=818408","hxxp://mail.ru/cnt/10445?gp=811036","hxxp://mypoisk.su/","hxxp://googla.com.ua/q","hxxp://rusearch.co"
    C:\Users\crike\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    AlternateDataStreams: C:\Windows\tracing:? [16]
    AlternateDataStreams: C:\Users\crike\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\crike\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Что сейчас с проблемой?
 
на данный момент без видимых действий, все работает, сайты с антивирусной защитой отрываются, нагрузка на процессор снизилась до нормальных значений. Очень благодарен, где то видел рекомендации по предотвращении подобных ситуаций на вашем форуме, обязательно ознакомлюсь и буду придерживаться, крайне редко в них попадаю лишь только от не внимательности или утомленности.
 
где то видел рекомендации
Можно не искать, я их дам :)

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
В завершении хочу уточнить как быть с АВ Malwarebytes? оставлять или положиться на защитник от Windows?
 

Вложения

  • SecurityCheck.txt
    12.6 KB · Просмотры: 2
как быть с АВ Malwarebytes?
Насколько мне известно, бесплатной версии нет. На ваше усмотрение, можно и только с Защитником остаться.

Обратите внимание:
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.26.4 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27
GitHub Desktop v.2.9.15 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.65.2 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.10 (64-разрядная) v.6.10.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.4689 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 333 (64-bit) v.8.0.3330.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 16.8.0 Full v.16.8.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.21.007.20102 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.01 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Игровой центр v.4.1674 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

По возможности исправьте всё перечисленное.

Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу