Вирус taskhostw.exe

@VarvaraF · Регистрация: 04.05.2023

Author24 — интернет-сервис помощи студентам

Добрый день! В течение ноутбук стал практически сразу после включения включать вентиляторы и охлаждать процессор, хотя программы еще не были включены. Причиной оказался вирус-майнер taskhost. Был выявлен через автозагрузку. Ничего с названием Realtek HD Audio мною обнаружено не было. Многие статьи и видео были аккуратно опробованы, но лишь на время ноутбук переставал попросту работать.
Проблемы с закрытием диспетчера задач и браузера с сайтами антивируса уже нет (смогла избавиться от этого), но в папке ProgramData были еще папки Avira,MalwareBytes,MB3Install и т.п. , которые были удалены мною по возможности.

AV_block_remove_2023.05.04-00.19.log

CollectionLog-2023.05.04-00.40.zip

@Sandor · 04.05.2023, 11:09

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя VarvaraF. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour
Web Companion

2. Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3. Пофиксите в HijackThis только следующие строчки (некоторых может не быть):

Код

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O10 - Unknown file in Winsock LSP: C:\Program Files (x86)\Bonjour\mdnsNSP.dll
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Norton AntiVirus Plus\Norton AntiVirus Autofix - C:\Program Files\Norton Security\Engine\22.21.2.50\SymErr.exe /ui (file missing)
O22 - Tasks_Migrated: \Norton AntiVirus Plus\Norton AntiVirus Error Analyzer - C:\Program Files\Norton Security\Engine\22.21.2.50\SymErr.exe /analyze (file missing)
O22 - Tasks_Migrated: \Norton AntiVirus Plus\Norton AntiVirus Error Processor - C:\Program Files\Norton Security\Engine\22.21.2.50\SymErr.exe /submit (file missing)

Перезагрузите компьютер.

4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@VarvaraF · 04.05.2023, 11:15 **[ТС]**

Bonjour с легкостью удалилось, а вот при удалении Web Companion выскакивает окно "Не удается найти "C:\Program Files (x86)\Lfvfsoft\Web Companion\Application\WebCompanionInstaller.exe". Проверьте, правильно ли указано имя и повторите попытку"

Также не могу перейти на сайт и установить утилиту ClearLNK. Пишет ошибка 429 и отказано в доступе: "Зафиксирована злонамеренная активность с вашего компьютера или сети"

@Sandor · 04.05.2023, 11:19

Удалите принудительно через Geek Uninstaller

@VarvaraF · 04.05.2023, 11:40 **[ТС]**

ClearLNK-2023.05.04_11.24.35.log

FRST and Addition.rar

@Sandor · 04.05.2023, 11:47

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-2359360938-2387081020-2807714597-1001\...\MountPoints2: {0b596d6f-5115-11ed-b2ff-28cdc4145460} - "E:\Setup.exe" 
HKU\S-1-5-21-2359360938-2387081020-2807714597-1001\...\MountPoints2: {eaac66ef-872f-11eb-b2c5-a272436fb70c} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2359360938-2387081020-2807714597-1001\...\MountPoints2: {f72b5c91-1141-11ec-b2d9-a70f9a78a32e} - "E:\HiSuiteDownLoader.exe" 
Edge HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=openpart1
Edge StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart1"
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart1"
CHR DefaultSearchURL: Default -> hxxps://www.serci.info?q={searchTerms}&gd=SY1001981
CHR HKU\S-1-5-21-2359360938-2387081020-2807714597-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
AV: Norton AntiVirus (Enabled - Up to date) {9E3FD331-C4C2-7AC4-0537-131EEF1B1F8A}
FW: Norton AntiVirus (Enabled) {A6045214-8EAD-7B9C-2E68-BA2B11C858F1}
FirewallRules: [{DC03F1E7-3AD5-4DAF-9D30-85B62642E027}] => (Allow) C:\Users\Варвара\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{40AB0C1A-AC29-44BD-8DE8-A62A8277DEE5}] => (Allow) C:\Users\Варвара\MediaGet2\mediaget.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@VarvaraF · 04.05.2023, 11:57 **[ТС]**

Fixlog.txt

@Sandor · 04.05.2023, 12:15

Хорошо. Проблема решена?

@VarvaraF · 04.05.2023, 12:18 **[ТС]**

Да! С автозагрузки пропал taskhost. Думаю и надеюсь снова не появится.

Благодарю Вас за помощь!!!

@Sandor · 04.05.2023, 12:24

Отлично. Чтобы этого не произошло случайно, проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@VarvaraF · 04.05.2023, 14:16 **[ТС]**

SecurityCheck.txt

@Sandor · 04.05.2023, 14:24

Исправьте по возможности:
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft SQL Server 2012 Native Client v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 Setup Support Files v.10.3.5500.0 Данная программа больше не поддерживается разработчиком.
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-bit) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.9.3 (3169) Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 361 (64-bit) v.8.0.3610.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC (64-bit) v.22.001.20085 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Читайте Рекомендации после удаления вредоносного ПО

@VarvaraF · 04.05.2023, 14:38 **[ТС]**

Microsoft SQL Server 2012 Native Client v.11.0.2100.60 и Microsoft SQL Server 2008 Setup Support Files v.10.3.5500.0 не получилось исправить.
Обновить Discord получилось, но после удаления Acrobat DC (вследствие ненадобности) ноутбук перезагрузился и автозагруженный Discord пишет, что "Update failed - retrying in 26 sec" крутит загрузку и откручивает секунды назад (сначала считает от 26 сек до 15, потом снова с 26 и до 15).

Вентиляторы начали работать сильно, охлаждая нагревающий процессор. Но ничем кроме браузера не нагружен....

@Sandor · 04.05.2023, 14:48

Сообщение от VarvaraF

Microsoft SQL Server 2008 Setup Support Files v.10.3.5500.0 не получилось исправить

Просто примите к сведению, что устарела и может быть уязвима.

Сообщение от VarvaraF

Вентиляторы начали работать сильно

Соберите новый CollectionLog Автологером, посмотрим.

@VarvaraF · 04.05.2023, 14:57 **[ТС]**

CollectionLog-2023.05.04-14.55.zip

@VarvaraF · 04.05.2023, 15:36 **[ТС]**

В диспетчере задач ЦП после открытия резко падает с 62% до 14%.
Открыт лишь браузер, проводник и диспетчер

@Sandor · 04.05.2023, 16:01

Не вижу ничего криминального.

Сообщение от VarvaraF

Discord пишет, что "Update failed

Переустановить Дискорд пробовали?

@VarvaraF · 04.05.2023, 16:04 **[ТС]**

Да, он теперь работает хорошо.

По каким причинам еще может это происходить? Ноутбуку 3 года и раньше с такой нагрузкой справлялся хорошо и при работе с несколькими файлами в Autocad вентиляция не включалась и нагрева не происходило.

@Sandor · 04.05.2023, 16:18

Возможно нужна физическая чистка ноутбука от пыли и при необходимости - смена термопасты.
Только если вы не делали такого раньше, обратитесь к специалисту. Разобрать и собрать ноутбук - достаточно сложная операция, требующая навыков.

@VarvaraF · 04.05.2023, 16:19 **[ТС]**

Благодарю за помощь!

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	04.05.2023, 16:01	17
	Не вижу ничего криминального. Сообщение от VarvaraF Discord пишет, что "Update failed Переустановить Дискорд пробовали? 0

@VarvaraF 0 / 0 / 0 Регистрация: 04.05.2023 Сообщений: 11
		1
	Вирус taskhostw.exe 04.05.2023, 00:42. Показов 2114. Ответов 19 Метки нет (Все метки) Добрый день! В течение ноутбук стал практически сразу после включения включать вентиляторы и охлаждать процессор, хотя программы еще не были включены. Причиной оказался вирус-майнер taskhost. Был выявлен через автозагрузку. Ничего с названием Realtek HD Audio мною обнаружено не было. Многие статьи и видео были аккуратно опробованы, но лишь на время ноутбук переставал попросту работать. Проблемы с закрытием диспетчера задач и браузера с сайтами антивируса уже нет (смогла избавиться от этого), но в папке ProgramData были еще папки Avira,MalwareBytes,MB3Install и т.п. , которые были удалены мною по возможности. AV_block_remove_2023.05.04-00.19.log CollectionLog-2023.05.04-00.40.zip 0

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	04.05.2023, 11:09	2
	Сообщение было отмечено VarvaraF как решение Решение Здравствуйте! Внимание! Рекомендации написаны специально для пользователя VarvaraF. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ 1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Bonjour Web Companion 2. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 3. Пофиксите в HijackThis только следующие строчки (некоторых может не быть): Код R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = .local O10 - Unknown file in Winsock LSP: C:\Program Files (x86)\Bonjour\mdnsNSP.dll O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing) O22 - Tasks_Migrated: \Norton AntiVirus Plus\Norton AntiVirus Autofix - C:\Program Files\Norton Security\Engine\22.21.2.50\SymErr.exe /ui (file missing) O22 - Tasks_Migrated: \Norton AntiVirus Plus\Norton AntiVirus Error Analyzer - C:\Program Files\Norton Security\Engine\22.21.2.50\SymErr.exe /analyze (file missing) O22 - Tasks_Migrated: \Norton AntiVirus Plus\Norton AntiVirus Error Processor - C:\Program Files\Norton Security\Engine\22.21.2.50\SymErr.exe /submit (file missing) Перезагрузите компьютер. 4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать* (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 1

@VarvaraF 0 / 0 / 0 Регистрация: 04.05.2023 Сообщений: 11
	04.05.2023, 11:15 [ТС]	3
	Bonjour с легкостью удалилось, а вот при удалении Web Companion выскакивает окно "Не удается найти "C:\Program Files (x86)\Lfvfsoft\Web Companion\Application\WebCompanionInstaller.exe". Проверьте, правильно ли указано имя и повторите попытку" Также не могу перейти на сайт и установить утилиту ClearLNK. Пишет ошибка 429 и отказано в доступе: "Зафиксирована злонамеренная активность с вашего компьютера или сети" 0

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	04.05.2023, 11:19	4
	Удалите принудительно через Geek Uninstaller 1

@VarvaraF 0 / 0 / 0 Регистрация: 04.05.2023 Сообщений: 11
	04.05.2023, 11:40 [ТС]	5
	ClearLNK-2023.05.04_11.24.35.log FRST and Addition.rar 0

@VarvaraF 0 / 0 / 0 Регистрация: 04.05.2023 Сообщений: 11
	04.05.2023, 11:57 [ТС]	7
	Fixlog.txt 0

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	04.05.2023, 12:15	8
	Хорошо. Проблема решена? 1

@VarvaraF 0 / 0 / 0 Регистрация: 04.05.2023 Сообщений: 11
	04.05.2023, 12:18 [ТС]	9
	Да! С автозагрузки пропал taskhost. Думаю и надеюсь снова не появится. Благодарю Вас за помощь!!! 0

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	04.05.2023, 12:24	10
	Отлично. Чтобы этого не произошло случайно, проделайте завершающие шаги: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@VarvaraF 0 / 0 / 0 Регистрация: 04.05.2023 Сообщений: 11
	04.05.2023, 14:16 [ТС]	11
	SecurityCheck.txt 0

	04.05.2023, 16:19

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	04.05.2023, 14:24	12
	Исправьте по возможности: --------------------------- [ OtherUtilities ] ---------------------------- Microsoft SQL Server 2012 Native Client v.11.0.2100.60 Данная программа больше не поддерживается разработчиком. Microsoft SQL Server 2008 Setup Support Files v.10.3.5500.0 Данная программа больше не поддерживается разработчиком. ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 6.02 (64-bit) v.6.02.0 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Discord v.0.0.309 Внимание! Скачать обновления Zoom v.5.9.3 (3169) Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 Update 361 (64-bit) v.8.0.3610.9 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat DC (64-bit) v.22.001.20085 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ Читайте Рекомендации после удаления вредоносного ПО 0

@VarvaraF 0 / 0 / 0 Регистрация: 04.05.2023 Сообщений: 11
	04.05.2023, 14:38 [ТС]	13
	Microsoft SQL Server 2012 Native Client v.11.0.2100.60 и Microsoft SQL Server 2008 Setup Support Files v.10.3.5500.0 не получилось исправить. Обновить Discord получилось, но после удаления Acrobat DC (вследствие ненадобности) ноутбук перезагрузился и автозагруженный Discord пишет, что "Update failed - retrying in 26 sec" крутит загрузку и откручивает секунды назад (сначала считает от 26 сек до 15, потом снова с 26 и до 15). Вентиляторы начали работать сильно, охлаждая нагревающий процессор. Но ничем кроме браузера не нагружен.... 0

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	04.05.2023, 14:48	14
	Сообщение от VarvaraF Microsoft SQL Server 2008 Setup Support Files v.10.3.5500.0 не получилось исправить Просто примите к сведению, что устарела и может быть уязвима. Сообщение от VarvaraF Вентиляторы начали работать сильно Соберите новый CollectionLog Автологером, посмотрим. 0

@VarvaraF 0 / 0 / 0 Регистрация: 04.05.2023 Сообщений: 11
	04.05.2023, 14:57 [ТС]	15
	CollectionLog-2023.05.04-14.55.zip 0

@VarvaraF 0 / 0 / 0 Регистрация: 04.05.2023 Сообщений: 11
	04.05.2023, 15:36 [ТС]	16
	В диспетчере задач ЦП после открытия резко падает с 62% до 14%. Открыт лишь браузер, проводник и диспетчер 0

@VarvaraF 0 / 0 / 0 Регистрация: 04.05.2023 Сообщений: 11
	04.05.2023, 16:04 [ТС]	18
	Да, он теперь работает хорошо. По каким причинам еще может это происходить? Ноутбуку 3 года и раньше с такой нагрузкой справлялся хорошо и при работе с несколькими файлами в Autocad вентиляция не включалась и нагрева не происходило. 0

@Sandor 21873 / 15676 / 3023 Регистрация: 08.10.2012 Сообщений: 63,736
	04.05.2023, 16:18	19
	Возможно нужна физическая чистка ноутбука от пыли и при необходимости - смена термопасты. Только если вы не делали такого раньше, обратитесь к специалисту. Разобрать и собрать ноутбук - достаточно сложная операция, требующая навыков. 0

@VarvaraF 0 / 0 / 0 Регистрация: 04.05.2023 Сообщений: 11
	04.05.2023, 16:19 [ТС]	20
	Благодарю за помощь! 0

Вирус taskhostw.exe

Решение