Решена Словил Taskhost

  • Автор темы Автор темы Shiroo
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.

Shiroo

Новый пользователь
Сообщения
6
Реакции
1
Здравия!
В общем решил я переустановить Windows, установил, покачал драйвера. Потом дела дошло до активации и сторонних программ (Как Office, Acrobat, Autocad) скорее всего taskhost получил из программ, так как были скачены с рутрекера, активатор Windows с ksm-auto.net. В итоге я заметил подозрения на майнер, только когда компьютер начал сильно шуметь в спокойном режиме, а также, на удивление, оверлей Geforce Experience помог мне окончательно убедится что у меня майнер. Так как я вычитал, что оверлей не устанавливается и не скачивается, так как taskhost, по каким то причинам, блокирует его.

В итоге сначала я воспользовался Dr Web Cureit, просканировав обнаружилось 8 вирусов, 3 из которых были процессами которые не поддавались лечению, в итоге запустив систему в безопасном режиме я удалял папки Realtek HD b Windows Task Service в ProgrammData, но после перезагрузки, он активировался вновь, проделав ещё несколько раз также, результат оставался таким же.

Потом уже воспользовался AV block remover, так же в безопасном, поскольку его закрывало в обычном режиме.
В итоге всё прошло успешно Cureit не обнаружил угроз, но всё таки сомнения ещё остались.

Пожалуйста могли бы проверить логи и посоветовать что можно ещё сделать. Спасибо!
 

Вложения

Здравствуйте!

активатор Windows с ksm-auto.net
Это и был виновник. Размер архива вероятно более 200 мб, верно?

воспользовался AV block remover
Если сохранился его отчёт вида AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Это и был виновник. Размер архива вероятно более 200 мб, верно?
К сожалению по памяти не помню какой был размер у архива, да обычно как-то забываю проверять размер, да и повторно скачивать не горю желанием :)

Если сохранился его отчёт вида AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Да отчёт сохранился, пришлю его вместе с отчётами Farbar.
 

Вложения

Сделаем некоторую очистку мусора.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    Task: {F97993A7-E8C0-4383-ABE1-0C80B94AB55A} - \Driver Booster SkipUAC (serit) -> Нет файла <==== ВНИМАНИЕ
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat DC.lnk:1069064143 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat Distiller DC.lnk:9185529B88 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3442]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Удалите лишние исключения Защитника и сообщите решена ли проблема.
Действительно. Было куча исключений связанных с taskhost, их удалил все. Просканировав систему Cureit, он ничего не нашёл, но вот воспользовавшись уже Malwarebytes он нашёл какой то троян, и ругался на торрент, торрент проигнорировал, а троян помещён в карантин. Приложу отчёт от него.
Вопрос, я могу удалять папку карантина от AV block remove?
 

Вложения

Trojan.Agent.E, C:\PROGRAM FILES\COMMON FILES\SYSTEM\IEDIAGCMD.EXE, Помещено в карантин, 2868, 717813, 1.0.86780, , ame, , ,
Это вообще-то ложное срабатывание. Но не страшно.

Да, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу