Решена Процесс Realtek HD taskhost

[laplas]

Здравствуйте, пишу данную тему с телефона, так как при попытке это сделать с компа браузер закрывается, по этому понятия не имею как прикрепить лог на сайт.
Подхватил вирус с текстовика процесс Realtek HD + COM surrogate оба находятся в скрытой папке programdata и там уже обозначаются как taskhost.exe. Помимо этого по диску напихали скрытых папок с названиями антивирусов которые не удаляются без соответствующих прав, что мне в данной ситуации можно сделать? Сами процессы вроде сильно ресурсов не жрут, но я и не проверял пока комп в каких то сложных задачах, помогите пожалуйста

 

[laplas]

UPD. Смог зайти с компа на свою тему, при открытии некоторых чужих и при попытке создать тему браузер закрывается. Вот логи с фарбара которые смог сделать только в безопасном режиме. При сканировании через AVZ выдавало что нет вирусов, но при этом при выполнении действий писало "HiJack перехватил данное действие" (что то в этом духе)

 

[akok]

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала

 

[laplas]

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала

Спасибо большое, проблема ушла, папки удалились и процесса более не наблюдаю. Вот лог

 

[Sandor]

Будет ещё несколько шагов.
Запустите AVbr на этот раз из нормального режима. После перезагрузки удалите старые и соберите новые логи FRST.txt и Addition.txt. Тоже из нормального режима.

 

[laplas]

Сделал, вот логи

 

[Sandor]

Запустите AVbr на этот раз из нормального режима

Его новый отчёт тоже покажите, пожалуйста.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour
Client Helper 6.1.6
Кнопки сервисов Яндекса на панели задач

Что не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
  Task: {E5477720-729F-406B-9886-52C04F5DECB6} - System32\Tasks\Microsoft\Windows\DataBaseT\RecoveryHosts => C:\ProgramData\Microsoft\MapData\ontWtLboNC\DataBaseT.bat  (Нет файла) <==== ВНИМАНИЕ
  Task: {1CE9F141-3409-4443-9A53-5B3C7EEA84C1} - System32\Tasks\RunGame => C:\Program Files\Client Helper\Client Helper.exe [146320896 2024-10-21] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-3886475312-676995333-3553582827-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  2025-01-30 21:07 - 2025-01-30 21:07 - 000000000 ____D C:\Users\spermaterrorist228\AppData\Local\clienthelper-updater
  2025-01-30 21:07 - 2025-01-30 21:07 - 000000000 ____D C:\Program Files\Client Helper
  2025-01-30 21:06 - 2025-01-30 21:07 - 000000000 ____D C:\Users\spermaterrorist228\AppData\Roaming\com.gtoppocket.launcher
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[laplas]

Его новый отчёт тоже покажите, пожалуйста.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Что не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
  Task: {E5477720-729F-406B-9886-52C04F5DECB6} - System32\Tasks\Microsoft\Windows\DataBaseT\RecoveryHosts => C:\ProgramData\Microsoft\MapData\ontWtLboNC\DataBaseT.bat  (Нет файла) <==== ВНИМАНИЕ
  Task: {1CE9F141-3409-4443-9A53-5B3C7EEA84C1} - System32\Tasks\RunGame => C:\Program Files\Client Helper\Client Helper.exe [146320896 2024-10-21] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-3886475312-676995333-3553582827-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  2025-01-30 21:07 - 2025-01-30 21:07 - 000000000 ____D C:\Users\spermaterrorist228\AppData\Local\clienthelper-updater
  2025-01-30 21:07 - 2025-01-30 21:07 - 000000000 ____D C:\Program Files\Client Helper
  2025-01-30 21:06 - 2025-01-30 21:07 - 000000000 ____D C:\Users\spermaterrorist228\AppData\Roaming\com.gtoppocket.launcher
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Бонжур и приложения яндекса это не от вируса, я этим пользуюсь) Логи прикрепил

 

[Sandor]

я этим пользуюсь

Для того, чтобы закрепить ярлык на панели задач, не нужна установленная в систему программа.
А Bonjour нужна только для Apple TV и на Windows системах можно без неё обойтись. К тому же, из-за неё часто возникают проблемы.

Ещё один скрипт выполните, пожалуйста:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\MicrosoftHost.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[laplas]

Понял про что вы, удалил. Вот лог

 

[Sandor]

Отлично!
Если проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[laplas]

Сделал

 

[Sandor]

Исправьте по возможности:

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления
WinRAR, версия 2.0 v.2.0 Внимание! Скачать обновления
Discord v.1.0.9177 Внимание! Скачать обновления
µTorrent v.3.6.0.47196 Внимание! Клиент сети P2P с рекламным модулем!.
Dolphin Anty 2025.151.124 v.2025.151.124 Антидетект браузер.
Yandex v.25.2.1.887 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Читайте Рекомендации после удаления вредоносного ПО

 

[laplas]

Спасибо большое ещё раз!