Хитрый, живучий, невидимый майнер (winserv.exe/taskhost/taskhostw) - Удаление вирусов - Ответ 16917922

@Sandor · 27.05.2023, 12:15

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: C:\WINDOWS\Tasks\jDACdhmJhsRrOtNad.job => C:\WINDOWS\Temp\sjYAXirdQbngkPot\KISJshUSgUInlEk\FoLCMTu.exe <==== ВНИМАНИЕ
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m","hxxps://go.microsoft.com/fwlink/?LinkId=625119&clcid=0x419"
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> cdn
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
2023-05-24 23:09 - 2023-05-24 23:09 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
2023-05-24 23:09 - 2023-05-24 23:09 - 000000000 __SHD C:\Users\User\Downloads\AV_block_remover
2023-05-24 23:09 - 2023-05-24 23:09 - 000000000 __SHD C:\Users\User\Desktop\AV_block_remover
2023-05-24 23:09 - 2023-05-24 23:09 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-05-24 23:09 - 2023-05-24 23:09 - 000000000 __SHD C:\Program Files\RogueKiller
AV: 360 Total Security (Disabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-4272681071-922079316-3416492674-1000\...\{116e8583-70fd-4065-9d63-99bc5bff4972}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
FirewallRules: [{82AB2063-4C24-4033-BF63-15BD2F30FA48}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣呱䜶⹋硥e => Нет файла
FirewallRules: [{F5159BCA-14F7-41C1-A244-63F6A0F82AEB}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{13BFE115-AA75-45DA-89B7-13B13A2516D5}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{96BBF268-65A2-4D76-9A61-5D1921D551AB}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣䄴瘷攮數 => Нет файла
FirewallRules: [{561D6AEE-65F5-4C2E-86F7-8DCC9621ABF6}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣彅橨⹣硥e => Нет файла
FirewallRules: [{0775DF54-8B37-4D2A-A5CB-AD0AC9F9915E}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{579AADDC-CD3F-456D-80DC-92D3ED3A2D65}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{9FC5BE0B-4963-4818-BD95-FC7296F73A44}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣楱䨸攮數 => Нет файла
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Вернуться к обсуждению:
Хитрый, живучий, невидимый майнер (winserv.exe/taskhost/taskhostw) Удаление вирусов

Следующий ответ

Другие темы раздела
Удаление вирусов Подскажите что за вирус и как его лечить? Столкнулся с одной проблемой, вирусняком. У человека он каждый раз восстанавливался после удаления. Не помогало так же и форматирование флешки, на которой висит вирус. Он все равно восстанавливается. Файл формата .exe Особенность его в том, что если одновременно вставить две флешки с компа, то он копирует себя в другую и его так же нельзя удалить. Что он делает ещё помимо клонирования-пока не... https://www.cyberforum.ru/ viruses/ thread3108012.html	Вирус taskhostw.exe Удаление вирусов Появляется ошибка Line 21219 (C:\ProgramData\ReaItekHD\taskhostw.exe) оказалось это вирус блокирующий сайты с антивирусами и являющийся майнером, причём я его перенёс на свой другой пк. На другом ПК решил проблему с помощью kaspersky rescue disk. А на этом компе эта загрузочная флешка не работает. При создании логов для этого обращения пришлось запорозить процессы вирусов через Process Hacker,...
Удаление вирусов Скрытый майнер, вирус На мой пк попал вирус. Открыть антивирус нельзя - недостаточно прав. Все сайты связанные с антивирусами и видео на ютубе про лечение закрывает. Создался пользователь в системе - John При установке Malwarebytes сразу при запуске пишет неправильно указан путь, а в свойствах --- безопасности пишет тоже самое, папка скрыта с Malwarebytes, при том, что я указал показывать скрытые папки. Я на свою... https://www.cyberforum.ru/ viruses/ thread3107850.html	Удаление вирусов Процессор греется до 90-100 градусов без включения каких либо программ Температура процессора поднимается до 90+ градусов с момента включения ПК, при этом никаких лагов и тормозов ни при простом использовании браузера, ни во время игры нет. Кулер в порядке и термопаста свежая, причину подъема температуры определить не удаётся. https://www.cyberforum.ru/ viruses/ thread3107500.html
В истории YouTube появляются видео, которые не смотрел Удаление вирусов Добрый день! В истории ютуба появляются видео, которые не смотрел. Удалил расширения хрома, неиспользуемые программы через панель управления, воспользовался лечащей утилитой dr. Web – не помогло. Проблема возникает только при включении ПК, на всех остальных устройствах проблемы нет. Прикладываю результаты сканирования AutoLogger	Удаление вирусов Вирус майнер john https://www.cyberforum.ru/ viruses/ thread3107361.html День добрый, или не очень) вообщем вчера подцепил майнер, думал удалю др вебом как обычно, но теперь я тут. Прочитал темы похожие, хост почистил, сам майнер вроде удалился(через AVbr), но проблемы остались. Не запускается установка и не открываются некоторые программы нигде, кроме папки темп, даже в безопастном режиме, аутологгер так же не работает, пытался найти где то мб права или разрешения...
Удаление вирусов Добрый день, подцепил вирус.скрытый майнер https://www.cyberforum.ru/ viruses/ thread3107283.html Добрый день, вирус не дает скачивать анти вирусы, выводит синий экран... ни чего сделать не дает.	Словил вирус. Удалить не получается Удаление вирусов Доброго дня! Такая беда, сервак стал тупить, погуглил, нашёл майнер (вирус), при попытке убить его Kaspersky Virus Removal Tool или Dr.Web CureIt!, ОС «ложится», помогает только «Загрузка последней удачной конфигурации», а дальше «начинай сначала», на серваке поднят сервер терминалов, соответственно надо убить так чтобы система осталась работоспособной. Помогите пожалуйста. Заранее, огромное...
Удаление вирусов Поймал вирус, Trojan:Win32/Tiggre!plock https://www.cyberforum.ru/ viruses/ thread3107139.html Поймал вирус скачивая торрент проверил антивирусом exe он ничего не нашёл стал скачивать и поймал вирус. После установки пк стал работать громче + Runtime Broker на 100% проц грузит, до этого такого не было. Помогите	Удаление вирусов Папка ProgramData закрывается при открытии Был вирус Realtek HD, я вроде бы его удалил и почистил реестр, но некоторые проблемы так и остались, такие как закрытие папки или не получается установить KVRT и запустить FRST. Подскажите что делать чтоб полностью избавиться от данного вируса https://www.cyberforum.ru/ viruses/ thread3107106.html
Удаление вирусов Словил скрытый майнер. Отключается при открытии диспетчера задач Добрый день. Месяц назад скачал Премьер Про (естественно пиратку), после этого через программу XWidget из стима заметил что процессор стал нагружаться в простое до 30%, при открытии диспетчера нагрузка спадала, много времени пытался найти ответ в интернете, но ничего не вышло, после этого переустановил винду и всё наладилось. До сегодняшнего дня такой проблемы больше не было, но вот опять... Ни с...	Удаление вирусов Вирус майнер закрывает браузер если на экране появляется слово "майнер" и автоматически закрывает AppData Добрый день. При установке программы Ansys возникала ошибка в которой говорилось, что в папке Fonts не хватает MySQL. Погуглив узнал, что это майнер, при этом при появлении слова "майнер" браузер закрывается. Папка AppData тоже закрывается. Прошу помочь. Прикрепляю логи. https://www.cyberforum.ru/ viruses/ thread3106956.html

	27.05.2023, 12:15