Решена Как удалить вирус-майнер taskhostw.exe?

Статус
В этой теме нельзя размещать новые ответы.

DackLetack

Новый пользователь
Сообщения
5
Реакции
0
Помогите пожалуйста решить проблему
Словил вирус майнер закрывающий диспетчер задач блокирующий сайты антивирусов и антивирусных программ выдавая окно "это приложение заблокировано вашим системным администратором"
Файл hosts редактировал для отмены блокировки сайтов
Запускал KVRT в безопасном режиме обнаружил пару проблем но после перезагрузки пк изменений не произошло
 

Вложения

  • сканвир.jpg
    сканвир.jpg
    159.5 KB · Просмотры: 47
Запустил AV block remover в обычном режиме после работы пк автоматом перезагрузился
Все антивирусные программы запускаются
Подскажите пк теперь чист от вируса и следов или нужно еще что то выполнить?
 

Вложения

  • AV_block_remove_2022.09.23-02.18.log
    11.1 KB · Просмотры: 4
Выполнил сканирование через Farbar Recovery Scan Tool
Прикрепляю отчеты
 

Вложения

  • FRST-Addition.rar
    55.2 KB · Просмотры: 6
Здравствуйте!

Кое-что ещё почистим.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {6ADCC41B-8DD1-49F1-8DF8-A55207265DDB} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ
    Task: {DB7B3D88-63A2-4384-8F28-9EAF13D48765} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
    C:\Users\Dom-PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
    C:\Users\Dom-PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
    CHR HKU\S-1-5-21-3735937916-3053766044-3133976549-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    2022-09-19 01:45 - 2022-09-19 01:45 - 000000001 _RHOT C:\ProgramData\UBar
    2022-09-19 01:45 - 2022-09-19 01:45 - 000000001 _RHOT C:\Program Files\WiperSoft
    2022-09-19 01:45 - 2022-09-19 01:45 - 000000001 _RHOT C:\Program Files\spyhunter
    2022-09-19 01:45 - 2022-09-19 01:45 - 000000001 _RHOT C:\Program Files\Enigma Software Group
    2022-09-19 01:45 - 2022-09-19 01:45 - 000000001 _RHOT C:\Program Files\ByteFence
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\qmfydprl.sys:changelist [304]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [678]
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Здравствуйте!

Кое-что ещё почистим.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {6ADCC41B-8DD1-49F1-8DF8-A55207265DDB} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ
    Task: {DB7B3D88-63A2-4384-8F28-9EAF13D48765} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
    C:\Users\Dom-PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
    C:\Users\Dom-PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
    CHR HKU\S-1-5-21-3735937916-3053766044-3133976549-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    2022-09-19 01:45 - 2022-09-19 01:45 - 000000001 _RHOT C:\ProgramData\UBar
    2022-09-19 01:45 - 2022-09-19 01:45 - 000000001 _RHOT C:\Program Files\WiperSoft
    2022-09-19 01:45 - 2022-09-19 01:45 - 000000001 _RHOT C:\Program Files\spyhunter
    2022-09-19 01:45 - 2022-09-19 01:45 - 000000001 _RHOT C:\Program Files\Enigma Software Group
    2022-09-19 01:45 - 2022-09-19 01:45 - 000000001 _RHOT C:\Program Files\ByteFence
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    AlternateDataStreams: C:\WINDOWS\system32\Drivers\qmfydprl.sys:changelist [304]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [678]
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Выполнил
 

Вложения

  • Fixlog.txt
    8.9 KB · Просмотры: 4
Несколько файлов типа
C:\Users\Dom-PC\AppData\Roaming\Kryptex\miners\kryptex9\kryptex9.exe
у вас добавлены в исключения Защитника. Полагаю, вы об этом знаете.


Если проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора.
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Несколько файлов типа
C:\Users\Dom-PC\AppData\Roaming\Kryptex\miners\kryptex9\kryptex9.exe
у вас добавлены в исключения Защитника. Полагаю, вы об этом знаете.
Спасибо все верно
 

Вложения

  • SecurityCheck.txt
    25.1 KB · Просмотры: 5
-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie 5.28 (64-bit) v.5.28 Внимание! Скачать обновления
Unchecky v1.2 v.1.2 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader 7.3.6.321 v.v 7.3.6.321 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Notepad++ (64-bit x64) v.8.4.2 Внимание! Скачать обновления
FileZilla Client 3.34.0 v.3.34.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.5.7 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.15.4467 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 v.5.40 Внимание! Скачать обновления
7-Zip 16.04 v.16.04 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9005 Внимание! Скачать обновления
Skype, версия 8.85 v.8.85 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46348 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 333 (64-bit) v.8.0.3330.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления
AIMP v.v4.12.1878, 25.12.2016 Внимание! Скачать обновления
K-Lite Codec Pack 12.7.5 Standard v.12.7.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Creative Cloud v.5.5.0.617 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
MX5 v.5.3.8.2000 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Mozilla Firefox 48.0 (x86 ru) v.48.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 90.0.4480.84 v.90.0.4480.84 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
---------------------------- [ UnwantedApps ] -----------------------------
Win Updates Disabler v1.4 v.1.4.0.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Telamon Cleaner v.1.0.226 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
AusLogics BoostSpeed v.11.5.0.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Auslogics File Recovery 8.0.20.0 v.8.0.20.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
DriverPack Notifier v.17.7.52+patch.11 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Far Cry™ RePack by SxSxL v.v1.4. Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
Word 2013 shareware v.shareware Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Ускоритель Компьютера 4.0 v.4.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
/ RePack by MarkusEVO v.1.2 Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
Чистилка v.2.21.262 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу