Решена Помогите удалить майнер taskhost.exe / taskhostw.exe / ReaitekHD

jokPAN

Новый пользователь
Сообщения
11
Реакции
1
Добрый день! В понедельник для учёбы пытался скачать на ноутбук крякнутую программу Multisim, однако установщик выдал ошибку, а после перезагрузки и, что важно, подключения к зарядке на экране появилось несколько консольных окон, а процессор стал грузиться под 50% и более процессами вроде Realtek audio HD, COM Surrogate, VMI Provider Host и т.д. Помимо этого, пропали все созданные до этого точки восстановления, спустя несколько секунд работы начал самопроизвольно закрываться диспетчер задач, а также браузер при вводе запросов по типу "как удалить майнер" - известные симптомы. На диске C обнаружилась куча папок, именуемые антивирусами вроде Avast или McAfee, которых у меня никогда не было, а в Program Data появились скрытые папки вроде ReaitekHD, WindowsTask и Windows Tasks Service. Пробовал избавиться от проблемы с помощью быстрого сканирования и полного в безопасном режиме через DrWeb Cureit, в результате чего были обнаружены майнеры и трояны, указывающие на файлы taskhost.exe, taskhostw.exe и т.д.; однако это не помогло - после перезагрузки и подключения зарядного устройства консольные окна вылезали снова, а все предыдущие симптомы возобновлялись, при этом в автозагрузке ничего подозрительного обнаружено не было.
Сегодня ещё нашёл на рабочем столе скрытые папки AutoLogger и AV_block_remover, для удаления которых у меня не хватило прав, а также два конфигурационных файла desktop - их удалить получилось. Кроме того, в списке исключений защитника Windows обнаружил множество файлов и процессов с наименованиями по типу taskhost.exe, taskhost.exe в ReaitekHD или winserv.exe из Windows Tasks Service и audiodg.exe из WindowsTask.
Сейчас после подключения зарядки консольные окна снова появились, однако процессор пока что не грузится, а браузер - не закрывается.
Ниже прикрепляю собранные логи (запускал только выполнение скрипта AVZ №2 (Shift+OK), т.к. у меня 64-разрядная система и в процессе сбора ничего не трогал, только один раз тыкнул на галочку напротив пункта "Диск C" в интерфейсе сборщика)
 

Вложения

Здравствуйте!

только один раз тыкнул на галочку напротив пункта "Диск C"
Это было лишнее, но не страшно.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 
Здравствуйте!


Это было лишнее, но не страшно.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
Прикрепляю (если что, запускал AV_block_remover и собирал логи, предварительно отключившись от wi-fi):
 

Вложения

Хорошо.
Деинсталлируйте нежелательную

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Хорошо.
Деинсталлируйте нежелательную


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Не совсем понял, что нужно деинсталлировать: в браузере отображается "Деинсталлируйте нежелательную App Explorer", при наборе ответа - "Деинсталлируйте нежелательную /пропуск/". Или это Вы лог цитируете?
Отчёты прикрепляю:
 

Вложения

Хотел ещё спросить - можно ли между этими действиями выключать ноутбук? На ночь, к примеру.
 
Подразумевалось программу App Explorer.
Зайдите в Параметры -> Приложения, отметьте её и нажмите "удалить".

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    Task: {3057051D-CB65-4A91-BE01-D6621FE47350} - System32\Tasks\App Explorer => C:\Users\vladk\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [8794648 2024-08-16] (SweetLabs Inc -> SweetLabs, Inc) <==== ВНИМАНИЕ
    2024-08-26 21:43 - 2024-08-26 21:43 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
    Unlock: C:\Users\vladk\OneDrive\Рабочий стол\AV_block_remover
    Unlock: C:\Users\vladk\OneDrive\Рабочий стол\AutoLogger
    FirewallRules: [{283EC6AF-B104-4409-9D03-0243DE94C0A8}] => (Allow) LPort=32683
    FirewallRules: [{AEB209E5-A0AD-489B-BE2C-3A148C09E7D6}] => (Allow) LPort=26822
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

можно ли между этими действиями выключать ноутбук?
Можно, т.к. с основным источником проблемы вы уже справились.
 
App Explorer удалил, папки на рабочем столе открылись к просмотру, лог прикрепляю:
 

Вложения

Ещё один скрипт выполните, пожалуйста:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    StartPowershell:
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
    Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData"
    Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
    EndPowerShell:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Порядок.
Если проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Установленное антивирусное ПО при этом отключать нужно?
 
Можно не отключать и разрешить запуск программы (если будет предупреждение).
 
Исправьте по возможности:

Norton Security Ultra v.22.22.1.58 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.4.2 Внимание! Скачать обновления
LibreOffice 7.2.1.2 v.7.2.1.2 Внимание! Скачать обновления
Python 3.9.13 (64-bit) v.3.9.13150.0 Внимание! Скачать обновления
OpenOffice 4.1.14 v.4.114.9811 Внимание! Скачать обновления
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
Discord v.1.0.9003 Внимание! Скачать обновления
Zoom v.5.14.8 (16213) Внимание! Скачать обновления
Windscribe v.2.6.14 Внимание! Скачать обновления
µTorrent v.3.6.0.47132 Внимание! Клиент сети P2P с рекламным модулем!.
Audacity 3.1.2 v.3.1.2 Внимание! Скачать обновления
VLC media player v.3.0.16 Внимание! Скачать обновления
Spotify v.1.2.43.420.gc7b23f70 Внимание! Скачать обновления
Opera GX Stable 87.0.4390.58 v.87.0.4390.58 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex (All Users) v.24.7.1.1076 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Читайте Рекомендации после удаления вредоносного ПО
 
Хорошо.
Касательно майнера больше ничего делать не нужно? И Security Check после этого всего удалять можно?
 
Да, можно всё просто удалить.
 
Ок.
Огромное Вам спасибо за помощь и работу, которую Вы здесь делаете, в целом!
 
Назад
Сверху Снизу