0 / 0 / 0
Регистрация: 25.05.2023
Сообщений: 11
|
|
1 | |
Хитрый, живучий, невидимый майнер (winserv.exe/taskhost/taskhostw)25.05.2023, 16:17. Показов 18732. Ответов 18
Метки нет (Все метки)
В доте 2 со вчерашнего вечера начало сильно лагать, фризы длились до 15 секунд, а попытка выйти в главное меню закончились чёрным экраном на 4 минуты и последующим закрытием через диспетчер задач на втором рабочем столе, при этом не было никаких сообщений, что дота 2 не отвечает (Win+Tab). Громких шумов и т.п., что могло сигнализировать о плохой работе компьютера, не было.
Утром зайдя первым делом отошел за чафиром, а вернувшись услышал громкий звук работы видеокарты. На афтабёрнере 100% ГП и 100% видеоядро и естественная от такой нагрузки температура 60-70гр. Открыв диспетчер задач, видеокарта умолкает и возвращается к штатной работе. Немного поищя загвоздку в диспетчере, нахожу очень похожие на вирусы процессы: System (запускается из папки Windows Tasks Service, в свойствах подписан как winserv.exe) | ReaItek HD (запускается из папки ReaItek HD, в свойствах обозначен как taskhostw) | COM Surrogate (две из них запущены от папки sustem32, а третья, которую я и подозреваю, в свойствах обозначена как taskhost) |, пути которых, я сразу же нашел и пытаясь ручным и грубым способом удалить, получаю моментальное закрытие проводника и диспетчера (дальше я ещё узнал что закрываются не только папка в которой хранится вирус и диспетчер задач, но и все проводники диска C. Затишье продливается не долго, минута-две максимум, после чего всё начинается с начала, и чем больше я держу компьютер запущенным тем быстрее майнер обращает внимание на то что я открыл папку ProgramData или диспетчер задач - и следовательно сразу их закрывая, иногда на столько быстро что даже букву прочитать не успееваешь. P.S. пути, где, предполагаю, хранятся вирусы: C:\ProgramData\Windows Tasks Service | C:\ProgramData\ReaItekHD | C:\ProgramData\WindowsTask Сознаюсь... пытался самостоятельно удалить более техничным путём; запускал в безопасном режиме и через консоль удалял всё из папок (вышеперечисленных) командами типа dir /a:h ,что-бы узнать, что удалять, а после del /a:h . удаляя всё что там находилось. Удалял сразу из всех трёх подозрительных папок, но удалить del /a:h .. не получалось, писало что отказано в доступе, а виноват в этом ntuser.pol находящийся скрытым в папке ProgramData. В дополнение напишу, запуск любых программ антивирусов/сайтов по типу вашего(с ссылками на autologger)/упомнинание слова антивирус в поисковой страничке/и даже ролики с темами как его удалить, пришлось искать на телефоне. Из этого вылазит неприятная... ФИГНЯ, запустить в обычном запуске AutoLogger невозможно, получается дойти до запуска AVZ, но после открытия браузеров сразу же закрывается без ошибок/незаконченных логов и т.п. Смог получить логи лишь из безопасного режима. Надеюсь поможет.
0
|
25.05.2023, 16:17 | |
Ответы с готовыми решениями:
18
Поймал майнер taskhostw, который маскируется под RealtekHD, COM Surrogate и winserv Вирусы taskhost.exe и taskhostw.exe, находящиеся в невидимой папке RealtekHD Вирусы taskhost.exe и taskhostw.exe, находящиеся в невидимой папке RealtekHD Вирусы taskhost.exe и taskhostw.exe, находящиеся в невидимой папке RealtekHD |
0 / 0 / 0
Регистрация: 25.05.2023
Сообщений: 11
|
|
25.05.2023, 16:19 [ТС] | 2 |
Вот логи из безопасного режима (читать последний абзац)
0
|
0 / 0 / 0
Регистрация: 25.05.2023
Сообщений: 11
|
|
25.05.2023, 16:21 [ТС] | 3 |
Вот логи с безопасного режима
0
|
21873 / 15676 / 3023
Регистрация: 08.10.2012
Сообщений: 63,736
|
|
25.05.2023, 16:30 | 4 |
Сообщение было отмечено Zairus как решение
Решение
Здравствуйте!
Скачайте AV block remover (или отсюда). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Как вариант, можно воспользоваться версией со случайным именем. Если и так не сработает, запускайте из безопасного режима с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером уже из нормального режима. Добавлено через 8 минут Если ещё не начинали, скачайте эту версию AVbr, пожалуйста. Дальше все по инструкции.
1
|
0 / 0 / 0
Регистрация: 25.05.2023
Сообщений: 11
|
|
25.05.2023, 16:53 [ТС] | 5 |
Всё сделано по вашим инструкциям. Компьютер больше не грузится из-за майнера, во время работы с AV предлогал удалить пользователя JOHN и майнер воздействующий на сеть, везде согласился
0
|
21873 / 15676 / 3023
Регистрация: 08.10.2012
Сообщений: 63,736
|
|
25.05.2023, 16:58 | 6 |
Однако в логе видим:
Запустите ещё раз AVbr (скачайте его по последней ссылке из моего сообщения) и запустите в нормальном режиме. Прикрепите его новый лог и соберите новый CollectionLog.
1
|
0 / 0 / 0
Регистрация: 25.05.2023
Сообщений: 11
|
|
25.05.2023, 17:26 [ТС] | 7 |
Ещё раз всё сделал, AV по последней ссылке, удалить John не предлагал
0
|
0 / 0 / 0
Регистрация: 25.05.2023
Сообщений: 11
|
|
25.05.2023, 18:13 [ТС] | 8 |
И ещё хотел спросить, когда на моём компьютере был winserv я не мог ничего скачать, поэтому пользовался флешкой и другими компьютерами (-ами потому что на одном ссд нету и переход между сайтами был невозможно долгим, а потом мне отдали ноут и я с него уже всё сделал), нужно ли мне проводить те-же махинации что и на заражённом компьютере?
И последний вопрос если позволите... мне нужен офисный бесплатный антивирус без лишних постоянно всплывающих окон, просто и надёжный, можно конечно же и платный, но если есть плата навсегда или не большая за год.
0
|
21873 / 15676 / 3023
Регистрация: 08.10.2012
Сообщений: 63,736
|
|
26.05.2023, 08:22 | 9 |
Не торопитесь, нам есть ещё над чем поработать.
Внимание! Рекомендации написаны специально для пользователя Zairus. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ 1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Код
O22 - Tasks: \Microsoft\Windows\MapInfoS\RecoveryHosts - C:\Programdata\Microsoft\dobiw\script.bat (file missing) O22 - Tasks: \Microsoft\Windows\MapInfoS\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\CreedMobe - C:\Windows\SysWOW64\unsecapp.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\DataRecovery - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: AdLock Update Task-S-1-5-21-4272681071-922079316-3416492674-1000 - C:\WINDOWS\System32\msiexec.exe /i "C:\Users\User\AppData\Local\Programs\ivanovsasha224\30148bb0a5.msi" /quiet CHROME=1 O22 - Tasks: AsrAPPShop - C:\Program Files (x86)\ASRock Utility\Auto Driver Installer\AsrAPPShop.exe (file missing) O22 - Tasks: jDACdhmJhsRrOtNad - C:\WINDOWS\Temp\sjYAXirdQbngkPot\KISJshUSgUInlEk\FoLCMTu.exe wB /site_id 690689 /S (file missing) O22 - Tasks: PlfEBCmQrUbyE2 - C:\WINDOWS\system32\forfiles.exe /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\ruKuqCXmjFqPnsVB\PBrVeDZ.wsf^"" O22 - Tasks: porcelain-politicians - C:\ProgramData\practice-portions\bin.exe /H (file missing) 3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве.
1
|
0 / 0 / 0
Регистрация: 25.05.2023
Сообщений: 11
|
|
26.05.2023, 18:25 [ТС] | 10 |
txt форматом не поместились, загрузил 7zip, версия 64. Перед FRST пофиксил 10 процессов и перезапустил. Также оба ПО удалил через панель управления.
0
|
21873 / 15676 / 3023
Регистрация: 08.10.2012
Сообщений: 63,736
|
|
27.05.2023, 12:15 | 11 |
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
0
|
0 / 0 / 0
Регистрация: 25.05.2023
Сообщений: 11
|
|
27.05.2023, 13:06 [ТС] | 12 |
Отключил антивирус - скопировал - запустил, FRST перезагрузил компьютер, вкладки остались но из аккаунтов повыходило, пароли остались сохранены в памяти яндекса.
Так же образовался файл с непонятным названием, прикрепил и его на всякий случай.
0
|
21873 / 15676 / 3023
Регистрация: 08.10.2012
Сообщений: 63,736
|
|
28.05.2023, 10:22 | 13 |
Скрипт достаточно было выполнить один раз.
Ещё один небольшой скрипт выполните в безопасном режиме:
0
|
0 / 0 / 0
Регистрация: 25.05.2023
Сообщений: 11
|
|
28.05.2023, 10:36 [ТС] | 14 |
Есть (наверное) некоторая проблема, фикс в безопасном режиме занял не более 1 секунд, после чего сразу же предложил перезапуск. Код, что вы скинули, я точно скопировал. . . Лог прикрепил
0
|
21873 / 15676 / 3023
Регистрация: 08.10.2012
Сообщений: 63,736
|
|
29.05.2023, 08:00 | 15 |
0
|
0 / 0 / 0
Регистрация: 25.05.2023
Сообщений: 11
|
|
29.05.2023, 09:25 [ТС] | 16 |
После первого использования AutoLoggger и AVbr в обычном запуске, у меня пропали все проблема, т.е. все симптомы майнера и вируса который хочет "защитится" от удаления. Спасибо помогли очень. Но у меня ещё есть вопросик по поводу антивирусника, потому что на защитник win10 надежды нету, пользовался раньше 2 года им, а потом устав от его беспомощности поставил avast.
0
|
21873 / 15676 / 3023
Регистрация: 08.10.2012
Сообщений: 63,736
|
|
29.05.2023, 09:31 | 17 |
Так в чём вопрос?
Пока в завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2.
0
|
0 / 0 / 0
Регистрация: 25.05.2023
Сообщений: 11
|
|
29.05.2023, 12:11 [ТС] | 18 |
Вопрос в том, какой лучше антивирус поставить, на ваш выбор.
Вот лог, что вы просили.
0
|
21873 / 15676 / 3023
Регистрация: 08.10.2012
Сообщений: 63,736
|
|
29.05.2023, 12:22 | 19 |
Исправьте по возможности:
------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Так ли страшен контроль учетных записей (UAC)? --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Office Professional Plus 2019 - en-us v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Microsoft Office Professional Plus 2019 - en-us.proof v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Python 3.5.1 (32-bit) v.3.5.1150.0 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ 7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ -------------------------- [ IMAndCollaborate ] --------------------------- Discord v.1.0.9008 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- VLC media player v.3.0.11 Внимание! Скачать обновления iTunes v.12.12.8.2 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ iTunes 2.5.17 v.2.5.17 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ K-Lite Mega Codec Pack 15.9.0 v.15.9.0 Внимание! Скачать обновления The KMPlayer 3.0.0.1442 v.RePack (01.10.2019) ------------------------------- [ Browser ] ------------------------------- Opera Stable 79.0.4143.22 v.79.0.4143.22 Внимание! Скачать обновления ^Проверьте обновления через меню Обновление и восстановление!^ Yandex v.23.5.0.2253 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ ---------------------------- [ UnwantedApps ] ----------------------------- CCleaner 5.75.8238 v.5.75.8238 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы. toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Важно, чтобы он был запущен и базы в актуальном состоянии. Avast ушёл из России, поэтому выбирайте тот, у которого есть поддержка. Антивирус Касперского, например. Читайте Рекомендации после удаления вредоносного ПО
0
|
29.05.2023, 12:22 | |
29.05.2023, 12:22 | |
Помогаю со студенческими работами здесь
19
Вирусы taskhost.exe и taskhostw.exe, находящиеся в невидимой папке RealtekHD Вирус taskhost.exe и taskhostw.exe майнер taskhost.exe Майнер taskhostw.exe Майнер taskhostw.exe Майнер taskhostw.exe Майнер taskhostw.exe Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |