Решена taskhost.exe, taskhostw.exe в C:/ProgramData/RealtekHD (вирус/майнер, грузящий систему)

Статус
В этой теме нельзя размещать новые ответы.

De8BaiT

Новый пользователь
Сообщения
8
Реакции
0
Добрый день! Пролистав сайт, я подозреваю, что эта проблема не редкая.

Суть проблемы:
Примерно две недели назад качал с торрента игруху, на ностальгию пробрало, детство. Скачал, нажал на setup и ничего не произошло. Тогда хоть и возникли подозрения, но не уделил этому вниманию, а зря.
Пару дней назад обнаружил, что сильно начал греться БП без каких-либо затратных прог. Сначала обвинял в этом сам БП (у меня БП сверху, от него и заметил сильный нагрев), уже пару лет работал без пререканий: думал, что окончательно пылью накрыло. Пару дней чистил, продувал, пытаясь всевозможные комки пыли выковырять (не хотел вынимать из корпуса) - не получилось ничего, хотя гул вентилятора убрать получилось, как ни странно.
Отчаянный, просто включил Диспетчер задач и обратил внимание, что минуты через 3 сам закрылся. Ну я его снова включил и уже на ощупь корпуса понял, что температура начала спадать. Тут и закрались наконец сомнения в системе.

Вкратце:
Обнаружил через AIDA64 taskhost.exe и taskhostw.exe в пути C:/ProgramData/RealtekHD. В ProgramData такой папки нет (включено отображение скрытых), при попытке скопировать путь из свойств - на 2 секунды открывается эта пустая папка и сама закрывается. Самостоятельно также закрываются Диспетчер задач, Монитор ресурсов, страницы антивирусов в гугле и, как ни странно, видеоролики на Youtube, открытые через тот же поисковой запрос (например, по запросу "как удалить майнер"). Пытался с помощью HitmanPro удалить - ни в какую, каждый раз перезагружает, "удаляет", а после перезагрузки они на месте.

Прошу, помогите!
 
Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам Правилам оформления запроса о помощи
 
Добрый день, рахбирался с безопасным режимом с поддержкой сети - не видил драйвера, решил в общем. Через обычный режим не получалось - вирус блокировал ссылку.
В ходе работы AVbr было предложено удалить пользователя John, на что я с радостью согласился.
 

Вложения

  • AV_block_remove_2022.11.24-10.42.log
    9.5 KB · Просмотры: 4
Теперь в нормальном режиме.
 

Вложения

  • CollectionLog-2022.11.24-10.54.zip
    153.5 KB · Просмотры: 3
  • AV_block_remove_2022.11.24-10.56.log
    8.3 KB · Просмотры: 3
В целом, должно уже полегчать. Дочистим ещё некоторые хвосты.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Adobe Flash Player 32 PPAPI
Auslogics Internet Optimizer
Bonjour
IObit Unlocker
uBar
Кнопка "Яндекс" на панели задач
Менеджер браузеров
Служба автоматического обновления программ
Заодно удалите бесполезный Cezurity Antivirus

Что не сможете удалить стандартно, удалите принудительно через Geek Uninstaller

"Пофиксите" в HijackThis только следующее:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\3f4245e8-1d63-11ec-8e42-0c9d921443bb: [URL] = https://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B788C4ABD-3775-4A58-AFEE-87AADB5801F9%7D&gp=812209 - Поиск@Mail.Ru
O22 - Tasks: MailRuUpdater - C:\Users\User\AppData\Local\Mail.Ru\MailRuUpdater.exe --check
O22 - Tasks: Pupdbrowser - C:\Users\User\AppData\Local\Pupdbrowser\Pupdbrowser.exe --s=D95F108F5EA0387D3A5C69B4E49C95A9CEBE872A38644DD4D959B1919536EEB30A3A22B4712A5BF994FDC2DE65 --id=1 --sub-id=432 (file missing)
O22 - Tasks: SoftMakerUpdater - C:\Program Files (x86)\SoftMaker FreeOffice 2018\SoftMakerUpdaterTool.exe 1 (file missing)
O22 - Tasks: VKDJ - C:\ProgramData\VkontakteDJ\VkontakteDJ.exe /H (file missing)
O22 - Tasks: WiperSoft Startup - c:\program files\WiperSoft\WiperSoft.exe /guard (file missing)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_pepper.exe -check pepperplugin
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O22 - Tasks_Migrated: Browserupdphenix - C:\Users\User\AppData\Local\Browserupdphenix\Browserupdphenix.exe --s=D95F108F5EA0387D3A5C69B4E49C95A9CEBE872A38644DD4D959B1919536EEB30A3A22B4712A5BF994FDC2DE65 --id=1 --sub-id=432 (file missing)
O22 - Tasks_Migrated: MailRuUpdater - C:\Users\User\AppData\Local\Mail.Ru\MailRuUpdater.exe --check
O22 - Tasks_Migrated: SoftMakerUpdater - C:\Program Files (x86)\SoftMaker FreeOffice 2018\SoftMakerUpdaterTool.exe 1 (file missing)
O22 - Tasks_Migrated: VKDJ - C:\ProgramData\VkontakteDJ\VkontakteDJ.exe /H (file missing)
O22 - Tasks_Migrated: WiperSoft Startup - c:\program files\WiperSoft\WiperSoft.exe /guard (file missing)
Некоторых строк может не быть.

Перезагрузите компьютер и далее:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Сделал всё, как и написали выше. Впринципе всё удалилось само, разве что Cezurity непонятно удалился: нажатие кнопки через параметры тупо не работала (просто клик и не более), скачал Geek - что не удалялось так - удалилось, а Cezurity просто не было в списке, после и в параметрах не было его, да и Defender наконец начал оповещения слать, вроде как удалился.
А насчёт AdwCleaner ссылка, что вы кинули, открывается с именем 403 и ошибка, но сам сайт открылся, поэтому нашёл такой же через поиск и скачал, собственно, вот и отчёт

К слову о вирусах, хоть и не по теме, но хотел бы просто спросить/разузнать, пока есть возможность
С давнего времени по непонятной мне причине через каждые 30-40 минут работы ПК начал открываться Проводник, и именно папка Документы, что в User находиться. Просто открывается, вроде ничего более не совершает и её спокойно можно закрыть (по крайней мере с того момента никаких прогрессирующих действий или запрещений не было замечено). Пытался в своё время углубиться, смотрел через интернет возможную причину, но чего-то похожего толком не увидел и пытался через автозагрузку как-то найти и отключить, но попытки были тщетны. И вот вопрос - может ли это также быть вредоносным вирусом или каким-то неясным образом установилась автозагрузка документов и не стоит волноваться? в связи с этим taskhost...
 

Вложения

  • AdwCleaner[S00].txt
    5.5 KB · Просмотры: 2
нашёл такой же через поиск и скачал
Можно было взять из наших ресурсов :)
Но спасибо за уведомление, добавлю вторую ссылку в шаблон.

через каждые 30-40 минут работы ПК начал открываться Проводник
И сейчас также открывается?

Продолжаем:
1.
  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
"Да вроде бы нет, спустя час времени не было" - хотел сказать я, но только что опять вылезло окно с документами.
Остальное - как и писали:
 

Вложения

  • FRST.txt
    62.3 KB · Просмотры: 2
  • Addition.txt
    167.5 KB · Просмотры: 2
  • AdwCleaner[C01].txt
    1.8 KB · Просмотры: 2
Файл AdwCleaner[C00].txt тоже покажите.

Бесполезный HitmanPro 3.8 удалите.
cFosSpeed v10.26 у вас установлена не корректно, прямо в папку Program Files. Если не пользуетесь, удалите. На мой взгляд, бесполезная.


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {2C8D13FC-9805-458D-B1A4-90FB2AE30CC8} - \WIN-ISPP46E9AK1-30478  -> Нет файла <==== ВНИМАНИЕ
    Task: {6DC84959-1FE2-4D3A-A750-B577DE2AC309} - \AAct -> Нет файла <==== ВНИМАНИЕ
    Edge StartupUrls: Default -> "hxxp://mail.ru/cnt/10445","hxxp://googla.com.ua/q","hxxps://mail.ru/cnt/10445?gp=812205","hxxps://mail.ru/cnt/10445?gp=812209"
    CHR HKLM-x32\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    AV: Cezurity Cube (Enabled - Up to date) {A8BBDCBE-CA85-1D1F-CB0E-9649E906A01E}
    AS: Cezurity Cube (Enabled - Up to date) {F16B08A9-0670-F460-D97C-52980A62F7A0}
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [223]
    FirewallRules: [{EA81A307-A144-4E83-894C-75026789C58E}] => (Allow) LPort=1688
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Готово.
 

Вложения

  • AdwCleaner[C00].txt
    4.9 KB · Просмотры: 2
  • Fixlog.txt
    5.4 KB · Просмотры: 2
Для верности посмотрим ещё такой лог:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

Заодно последите, будет ли всплывать Проводник.
 
К слову - прямая ссылка Malwarebytes тоже с ошибкой (зеркало в норме и исправно работает)

За час Проводник так ни разу и не объявился.
 

Вложения

  • 1669288468700.png
    1669288468700.png
    22 KB · Просмотры: 28
  • Scan.txt
    11.3 KB · Просмотры: 2
Если уже закрыли, повторите сканирование и удалите (поместите в карантин) всё найденное, кроме вашего кмс активатора и торрента.

Новый лог показывать не обязательно, сообщите решена ли проблема.
 
Проблема решена, благодарю за помощь!
 
Отлично!
В завершение:

1. Деинсталлируйте Malwarebytes.

2.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу