Майнер ReaLtekHD / taskhost

@Qingli · Регистрация: 02.12.2022

Студворк — интернет-сервис помощи студентам

После скачки торрента с игрой (каюсь) с сайта byrut.org появился майнер. Я его даже не устанавливал, открыл установщик, понял что что-то тут не то (вместо названия игры "торрент игра"), сразу его закрыл, но было уже поздно. Смотрю, популярная тема.

Всё стандартное: высокая нагрузка, при открывании менеджера она исчезает, закрываются сайты с антивирусными ключами. Вредоносные процессы перезапускаются.

Я с подобным не так давно сталкивался и Cureit его убил. В этот раз Cureit не помог, он его просто не видит.

Смог пользоваться компьютером (в т.ч. зайти в данный раздел, т.к. в url есть "virus") только после использования Process Hacker 2, где я сделал suspend нескольким процессам, которые подозреваю связаны с вирусом. Из hosts удалил большой список сайтов, включая этот.

Логи прикреплены (тоже смог сделать только после suspend). Буду благодарен помощи.

@Sandor · 02.12.2022, 14:35

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

@Qingli · 02.12.2022, 15:01 **[ТС]**

Вроде помогло, логи прикреплены.
Пришлось переименовывать файл и был запрос удаления Jhonа.

@Sandor · 02.12.2022, 15:32

Хорошо, но кое-какие хвосты дочистим.

Внимание! Рекомендации написаны специально для пользователя Qingli. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Пофиксите в HijackThis следующие строчки:

Code
O22 - Tasks: \Microsoft\Sledgehammer\WDU - C:\Users\Qiao\Desktop\Sledgehammer_2.6.0\Portable\Sledgehammer\bin\WDU.cmd (file missing)
O22 - Tasks: \Microsoft\Sledgehammer\Wub_task - C:\Users\Qiao\Desktop\Sledgehammer_2.6.0\Portable\Sledgehammer\bin\Wub.exe /d /p (file missing)
O22 - Tasks: \Microsoft\Windows\Autochk\AutochkTask - C:\WINDOWS\winmain64.exe --run --sh (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)

Перезагрузите компьютер.

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу (предварительно переименуйте в FRST64English.exe) . Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@Qingli · 02.12.2022, 19:17 **[ТС]**

Сделано

@Sandor · 03.12.2022, 13:25

Сообщение от Sandor

переименуйте FRST64.exe в FRST64English.exe

Сделайте это, пожалуйста, и переделайте логи.

@Qingli · 06.12.2022, 19:08 **[ТС]**

Не заметил, искал английский в программе. Прикреплено
Полёт несколько дней нормальный, всё помогло.
Защитника отключил я, если что.

Гляжу, куча подобных тем. Гугля почему-то этот сайт в самом верху выдаёт. Там реальный файл есть, но он снизу мелко, а крупно по центру - данный майнер.

@Sandor · 07.12.2022, 09:02

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKU\S-1-5-21-6330842-2943890991-2288749831-1001\...\Run: [Qiao] => cmd.exe /c start www.dinoraptzor.org (No File)
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
Policies: C:\Users\Administrator\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Qiao\NTUSER.pol: Restriction <==== ATTENTION
Task: {35B79257-CF96-4383-BBEF-46E7969E55A8} - System32\Tasks\Update Service => C:\Users\Qiao\AppData\Local\svc10.17134\winupdate.exe (No File)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\autoconfig.js [2020-06-30] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\local-settings.js [2020-06-30] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\mozcn.js [2020-06-30] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\mozcn.cfg [2016-06-29] <==== ATTENTION
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\mozilla.cfg [2020-06-30] <==== ATTENTION
AV: Malwarebytes (Disabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Qingli · 09.12.2022, 15:06 **[ТС]**

Сделано
ФФ оно конечно хорошо вздрюкнуло

@Sandor · 09.12.2022, 15:43

Ещё один небольшой скрипт выполните в безопасном режиме:

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Start::
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\rss
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Qiao\AppData\Roaming\EpicNet Inc\CloudNet
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Qiao\AppData\Local\Temp\csrss
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Qiao\AppData\Roaming\TwilightBird
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\windefender.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Qiao\AppData\Local\Temp\wup
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\System32\drivers
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|csrss.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|cloudnet.exe
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|windefender.exe
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Qingli · 14.12.2022, 05:40 **[ТС]**

Теперь всё.

@Sandor · 14.12.2022, 09:59

Проблема решена?

@Qingli · 14.12.2022, 10:20 **[ТС]**

Да, сразу была решена, спасибо.

@Sandor · 14.12.2022, 10:24

Хорошо, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Новые блоги и статьи Все статьи Все блоги /
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .

@Sandor 22435 / 15892 / 3076 Регистрация: 08.10.2012 Сообщений: 64,749
	02.12.2022, 14:35
	Сообщение было отмечено Qingli как решение Решение Здравствуйте! Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Как вариант, можно воспользоваться версией со случайным именем. Если и так не сработает, запускайте в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером. 2

@Sandor 22435 / 15892 / 3076 Регистрация: 08.10.2012 Сообщений: 64,749
	02.12.2022, 15:32
	Хорошо, но кое-какие хвосты дочистим. Внимание! Рекомендации написаны специально для пользователя Qingli. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Пофиксите в HijackThis следующие строчки: Code O22 - Tasks: \Microsoft\Sledgehammer\WDU - C:\Users\Qiao\Desktop\Sledgehammer_2.6.0\Portable\Sledgehammer\bin\WDU.cmd (file missing) O22 - Tasks: \Microsoft\Sledgehammer\Wub_task - C:\Users\Qiao\Desktop\Sledgehammer_2.6.0\Portable\Sledgehammer\bin\Wub.exe /d /p (file missing) O22 - Tasks: \Microsoft\Windows\Autochk\AutochkTask - C:\WINDOWS\winmain64.exe --run --sh (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing) Перезагрузите компьютер. Затем: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу (предварительно переименуйте в FRST64English.exe) . Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 1

@Sandor 22435 / 15892 / 3076 Регистрация: 08.10.2012 Сообщений: 64,749
	14.12.2022, 09:59
	Проблема решена? 0

@Qingli 0 / 0 / 0 Регистрация: 02.12.2022 Сообщений: 7
	14.12.2022, 10:20 [ТС]
	Да, сразу была решена, спасибо. 0

@Sandor 22435 / 15892 / 3076 Регистрация: 08.10.2012 Сообщений: 64,749
	14.12.2022, 10:24
	Хорошо, в завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

Майнер ReaLtekHD / taskhost

Решение