Решена Taskhostw не могу удалить, перепробовали всё

[sofa20989]

Удалили сам реалтек с автозагрузки через танцы с бубнами, пробовали всё от Dr veb curel. до avb avbr, processf hacher 2, вроде удалился, но в автозагрузке остался Taskhostw
но система всё равно грузится, в той же доте 20 фпс, в автозагрузке Taskhostw не даёт не свойства нажать не расположение файла, но на днях наткнулся на этот форум, ссылку прикрепляю, та же проблема Решена - Taskhostw - всё пробывал не чего не помогает.
Думали наконец то, такая же проблема, сейчас сделаю всё тоже самое и пройдёт, но на этом шаге(фото1) столкнулся с той проблемой, что таких строк у меня и нет, что делать, подскажите? Так же прикреплю лог

 

[sofa20989]

на всякий железо: rtx 4060 8gb, i7 10700 и скрин с автозагрузки

 

[Severnyj]

C:\Windows\System32\taskhostw.exe

- системный файл, и от него избавляться не нужно. Но да, у вас есть следы майнера маскирующегося под Realteck, так что начало стандартное:

Скачайте AV block remover.
Сохраните утилиту только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads), запустите и следуйте инструкциям.
Если не запускается, запустите её в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.

 

[sofa20989]

готово, что дальше делаем?)

 

[Severnyj]

Пофиксите в HJT (некоторые строки могут отсутствовать):

O4 - HKLM\..\StartupApproved\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing) (2025/02/12)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{44D276A8-4600-4696-9DEA-65E1F227ECBA} - \Microsoft\Windows\WindowsBackup\WinlogonCheck (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5FEADA05-94E6-442C-AF62-2131848C0DC8} - \Microsoft\Windows\WindowsBackup\OfficeCheck (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E6416950-2E9E-4BFC-82AC-365BD25CD446} - \Microsoft\Windows\WindowsBackup\SystemManager (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F5A89AE8-F4A4-4CEA-8A1A-3FD97A6EDAC9} - \Microsoft\Windows\WindowsBackup\OnlogonCheck (no xml)
O22 - Tasks: \Microsoft\Windows\MapInfoK\RecoveryHosts - C:\ProgramData\Microsoft\DRM\11gDxtxpztdLHsPDEz\MapInfoK.bat (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

 

[sofa20989]

Если я правильно понял пофиксить надо в тектовом документе "HiJackThis_debug" ? Если так, то там все эти строки один в один, но я на всякий случай заменил вашими

Пофиксите в HJT (некоторые строки могут отсутствовать):

O4 - HKLM\..\StartupApproved\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing) (2025/02/12)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{44D276A8-4600-4696-9DEA-65E1F227ECBA} - \Microsoft\Windows\WindowsBackup\WinlogonCheck (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5FEADA05-94E6-442C-AF62-2131848C0DC8} - \Microsoft\Windows\WindowsBackup\OfficeCheck (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E6416950-2E9E-4BFC-82AC-365BD25CD446} - \Microsoft\Windows\WindowsBackup\SystemManager (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F5A89AE8-F4A4-4CEA-8A1A-3FD97A6EDAC9} - \Microsoft\Windows\WindowsBackup\OnlogonCheck (no xml)
O22 - Tasks: \Microsoft\Windows\MapInfoK\RecoveryHosts - C:\ProgramData\Microsoft\DRM\11gDxtxpztdLHsPDEz\MapInfoK.bat (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

Сделал

 

[Severnyj]

Если я правильно понял пофиксить надо в тектовом документе

Не правильно поняли, пройдите по ссылке

 

[sofa20989]

А, извиняюсь, не увидел как пофиксить ссылку, сейчас сделаю и ешё раз пришлю)

Не правильно поняли, пройдите по ссылке

Готово! с Автозагрузки кстати пропал Taskhostw, но при запуске диспетчера задач изначально на доле секунды видно, что проц работает на 95-99%, а затем резко опускается

 

[Severnyj]

Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
CHR HKU\S-1-5-21-3914046492-1561045754-2057542162-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
2025-02-05 15:29 - 2025-02-05 15:29 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

 

[sofa20989]

Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
CHR HKU\S-1-5-21-3914046492-1561045754-2057542162-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
2025-02-05 15:29 - 2025-02-05 15:29 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

 

[Severnyj]

Что с проблемой?

 

[sofa20989]

Что с проблемой?

в автозагрузке уже нет, но при открывании диспетчера задач, проц работает на 100% и резко опускается, когда я начинаю смотреть, прикрепил небольшое видео

 

[Severnyj]

Это нормальное поведение при запуске диспетчера задач.

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.

 

[sofa20989]

проверил доту ещё, при малом колличестве игроков на карте 28 фпс, но раньше было и 20 и ниже в жёских моментах, скрин тоже прикрепил)
Я не думаю, что на таком железе должно быть так, у многих на ультрах работает и на ртх3060 с более слабыми процами, в чем же может быть дело?

 

[Severnyj]

Скачайте Kaspersky Virus Removal Tool и сохраните файл KVRT.exe на своем Рабочем столе
Нажмите сочетание клавиш "Win+R" откроется окно "Выполнить"
Перетащите мышью KVRT.exe в поле Открыть
В поле "Открыть" должно отобразиться: C:\Users\{Имя вашего пользователя}\DESKTOP\KVRT.exe
Добавьте ключ -dontencrypt Обратите внимание на пробел между KVRT.exe и -dontencrypt

C:\Users\{Имя вашего пользователя}\DESKTOP\KVRT.exe -dontencrypt

Чтобы начать сканирование, нажмите кнопку "OK".
Откроется окно Лицензионного соглашения, отметьте все поля галочками, затем нажмите кнопку "Принять"
В следующем окне выберите пункт "Изменить параметры"
В новом окне убедитесь, что все поля выбора отмечены галочками, затем нажмите кнопку "OK"
Нажмите кнопку "Начать проверку" для сканирования всего компьютера.
После завершения проверки, если вредоносные записи будут найдены, выберите напротив них действие "Лечить" или "Удалить", затем нажмите кнопку "Продолжить".
В окне с предложением установки продукта от Лаборатории Касперского нажмите кнопку "Отмена".
Лог сканирования из папки C:\KVRT2020_Data\Reports вида: report_20210123_113021.klr, запакуйте в архив и прикрепите к следующему сообщению.

 

[Severnyj]

По софту, обновите:

Process Hacker 2.39 (r124) v.2.39.0.124 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.
WinRAR 5.80 beta 1 (64-bit) v.5.80.1 Внимание! Скачать обновления

Деинсталлируйте:

uTorrent v3.6.0.47196 v.3.6.0.47196 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

[sofa20989]

По софту, обновите:

Process Hacker 2.39 (r124) v.2.39.0.124 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.
WinRAR 5.80 beta 1 (64-bit) v.5.80.1 Внимание! Скачать обновления

Деинсталлируйте:

uTorrent v3.6.0.47196 v.3.6.0.47196 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Извиняюсь, уходил работать, удалил все, даже торрент

 

[Severnyj]

Изменения в работе есть?

 

[sofa20989]

ну немного стало лучше, но фпс низкий, мб теперь дело не в вирусах

 

[Severnyj]

Активных вирусов в логах не видно