0 / 0 / 0
Регистрация: 16.06.2022
Сообщений: 8
|
|
1 | |
Вирусы taskhost.exe и taskhostw.exe, находящиеся в невидимой папке RealtekHD16.06.2022, 22:36. Показов 63000. Ответов 13
Метки нет (Все метки)
Здравствуйте, обнаружил вирусы taskhost.exe и taskhostw.exe, находящиеся в невидимой папке RealtekHD (Полный путь: C:\ProgramData\RealtekHD).
Признаки вируса Загрузка ЦП подскакивает до 100% из-за чего компьютер подвисает, при попытке зайти на официальные сайты антивирусов браузер выключается, также самостоятельно через определённое время выключаются Диспетчер задач и AutoLogger (Поэтому логи пришлось делать в безопасном режиме). Попытки разобраться самостоятельно До обращения сюда пытался разобраться с вирусом самостоятельно. С помощью Диспетчера задач завершал процессы taskhost.exe и taskhostw.exe, но со временем они возвращались. Удалить файлы taskhost.exe, taskhostw.exe или папку RealtekHD не получилось, т.к. их не видно. Позже через Конфигурацию системы отключил автозагрузку Realtek HD Audio, теперь у меня два элемента (или что это, я не знаю) Realtek HD Audio: один с выключенной автозагрузкой, второй - с включенной. (Может быть поэтому я одновременно видел два заражённых файла taskhost.exe и два заражённых файла taskhostw.exe, каждый из которых находится в папке RealtekHD). Сканирование антивирусом Dr.Web CureIt ничего не обнаружило. Просьба о помощи Как я понял решение данной проблемы для каждого индивидуальное, поэтому я решил больше ничего самостоятельно не предпринимать, а дождаться консультации специалистов. Помогите пожалуйста. Операционная система: Windows 7. Вложение 1351616
0
|
16.06.2022, 22:36 | |
Ответы с готовыми решениями:
13
Вирус taskhost.exe в папке C:\Windows\RealtekHD taskhost.exe в папке RealtekHD, закрывается диспетчер задач Вирус taskhostw.exe RealtekHD Поймал майнер, судя по всему маскируется под realtekHD и taskhostw.exe |
0 / 0 / 0
Регистрация: 16.06.2022
Сообщений: 8
|
|
16.06.2022, 22:54 [ТС] | 2 |
0
|
13216 / 7346 / 1558
Регистрация: 06.09.2009
Сообщений: 26,868
|
|
17.06.2022, 07:56 | 3 |
Сообщение было отмечено Senor Tomato как решение
Решение
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
2
|
0 / 0 / 0
Регистрация: 16.06.2022
Сообщений: 8
|
|
17.06.2022, 11:17 [ТС] | 4 |
0
|
13216 / 7346 / 1558
Регистрация: 06.09.2009
Сообщений: 26,868
|
|
17.06.2022, 20:17 | 5 |
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
2
|
0 / 0 / 0
Регистрация: 16.06.2022
Сообщений: 8
|
|
17.06.2022, 20:59 [ТС] | 6 |
Всё сделал
Полученные отчёты.rar
0
|
13216 / 7346 / 1558
Регистрация: 06.09.2009
Сообщений: 26,868
|
|
17.06.2022, 23:26 | 7 |
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
Код
Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ubisoft register.lnk [2021-08-11] ShortcutTarget: Ubisoft register.lnk -> C:\Program Files (x86)\Ubisoft\Register\schedule.exe (Нет файла) HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ Task: {055B2930-E427-40F1-B7AF-5D3EC65F2EBE} - System32\Tasks\{0746AF96-F344-46FC-9F56-8630B166641E} => C:\Program Files (x86)\Кузя Суперагент 2\Config.exe (Нет файла) Task: {09D0C2A5-8895-4633-90D8-3A4E13BEC466} - System32\Tasks\Microsoft\Windows\Wininet\TaskhostMO => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ Task: {1844F2D6-0EEA-4E26-A481-7A4897C81A43} - System32\Tasks\{CE2C444D-1522-4FDC-AEC7-78CCE8EDA520} => C:\Users\User\Documents\Garfield_RUS\GARFIELD.EXE (Нет файла) Task: {1BE1C39F-6666-4BC9-81DA-FF5B5529BE11} - System32\Tasks\Microsoft\Windows\Wininet\RealtekMO => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ Task: {1DC5E325-BC70-457E-93AD-918767A9B86B} - System32\Tasks\{06C773DB-5D9C-4433-ACC2-D8AE07A56252} => C:\Games\The Thing\bin\thething.exe (Нет файла) Task: {33A3F0C6-A894-485C-A900-14B3E8564D92} - System32\Tasks\{B2D5675C-B6A4-4700-8F77-20F5215466FC} => C:\Program Files (x86)\Кузя Суперагент 2\Config.exe (Нет файла) Task: {3520C5C2-D7B2-4729-AE18-E974E41096B2} - System32\Tasks\{BD770AD4-45E4-4920-A68B-3129FDD1763B} => D:\ROT.EXE (Нет файла) Task: {355518AD-0CD0-4E89-A54C-B31E271D99C6} - System32\Tasks\{646D52EE-9E7C-4B06-84B9-D792E20C3095} => D:\ROT.EXE (Нет файла) Task: {51B88E21-79B5-4529-BA9A-A58E5854664D} - System32\Tasks\{3BD82DD7-3388-4799-8909-12C9CEAA4041} => C:\Program Files (x86)\Кузя Суперагент 2\Config.exe (Нет файла) Task: {548DD062-E444-4329-99D8-BCCEFD99C271} - System32\Tasks\{5F4AC001-AAAC-4AED-9587-A0543E5EB9FA} => D:\ROT.EXE (Нет файла) Task: {5DCB3999-AA79-491F-BF30-56E2544866E6} - System32\Tasks\{EA49808F-1528-4344-B4B1-2C2DA0457997} => D:\SETUP.EXE (Нет файла) Task: {5E82A8F5-3568-4001-B89E-AA4D82130C00} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Нет файла) Task: {858A5BD8-16C8-4023-BFCB-693CF951296E} - System32\Tasks\{0192F8D2-B856-4124-A960-CF28EA2ED849} => D:\SETUP.EXE (Нет файла) Task: {91307FDE-E9D8-460B-84DE-5D0B67881BFB} - System32\Tasks\Microsoft\Windows\Wininet\RealtekOnLogon => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ Task: {9C605AE2-A5AE-4920-AF42-4C410E193442} - System32\Tasks\{FFA45DBF-6809-4AD7-B384-17E8D2BA6067} => D:\ROT.EXE (Нет файла) Task: {A0E511B3-295D-45D1-B296-C954DA6EBA0B} - System32\Tasks\{7DEBA276-9A52-4912-8BD2-0EB4A60D0A02} => D:\SETUP.EXE (Нет файла) Task: {A4E84693-65CD-4486-B54E-5013759F74D8} - System32\Tasks\Microsoft\Windows\Wininet\TaskhostOnlogon => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ Task: {AF153BDF-4B1B-40FE-9DAD-7BDA74C0BB76} - System32\Tasks\{D86CE833-C66E-4B05-90E8-9952E21A0837} => C:\Program Files (x86)\Кузя Суперагент 2\Config.exe (Нет файла) Task: {BB288D69-983F-4241-AE66-4E58F8F78DFA} - System32\Tasks\{7F912A8F-EAB9-4D1A-ABCC-3F6A6ADFE39A} => D:\SETUP.EXE (Нет файла) Task: {CE91A2E4-5D2D-471D-B14F-76C95720AF1B} - System32\Tasks\{238D59DE-3F06-4A9B-B6E5-326EBD9AC24D} => D:\SETUP.EXE (Нет файла) Task: {D099D675-C4A9-42C9-AC05-CC22A6C3C0F8} - System32\Tasks\DownloadStudio Standalone Updater => C:\Program Files (x86)\Download Studio\dstudio-gui.exe --self-update (Нет файла) Task: {D2AD8B50-4AE2-490F-ABCD-6CA7C9CFD6FC} - System32\Tasks\{9911612F-A5EF-4A2C-BC28-0028669A6851} => D:\ROT.EXE (Нет файла) Task: {E739FA1F-1237-46D7-BDE0-7B1EB05CA96C} - System32\Tasks\{DA97F41D-C0F6-49B1-A00E-18E298FB7992} => C:\Users\User\Documents\Garfield_RUS\GARFIELD.EXE (Нет файла) Task: {E9FA2A93-9A49-4DD1-A037-B57838D91904} - System32\Tasks\Opera scheduled Autoupdate 1604232542 => C:\Users\User\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла) Task: {EB605EEF-D82E-43D4-8531-81263717BD16} - System32\Tasks\DownloadStudio Service Repair => C:\Program Files (x86)\Download Studio\dstudiosvc.exe --repair (Нет файла) Task: {F32E078A-28E3-4735-B9A3-FEC97D1A3D76} - System32\Tasks\{BD7BD764-5946-4148-88C8-7CBA67A46A9F} => C:\Program Files (x86)\Кузя Суперагент 2\Config.exe (Нет файла) HKLM\SYSTEM\CurrentControlSet\Services\458FD275AE1C4B14 <==== ВНИМАНИЕ (Rootkit!) 2022-06-14 21:21 - 2022-06-14 21:21 - 000000000 __SHD C:\Users\John 2019-05-08 14:17 - 2020-11-01 17:12 - 000000766 _____ () C:\Users\User\AppData\Local\uBar.lnk FirewallRules: [TCP Query User{10616BE9-8A68-4494-AB00-153CC54C2A0C}C:\windows.old.000\program files\counter-strike source v34\hl2.exe] => (Block) C:\windows.old.000\program files\counter-strike source v34\hl2.exe => Нет файла FirewallRules: [UDP Query User{57AC0A9F-13A0-43FA-BCF2-B7C23056D7E2}C:\windows.old.000\program files\counter-strike source v34\hl2.exe] => (Block) C:\windows.old.000\program files\counter-strike source v34\hl2.exe => Нет файла FirewallRules: [{C970EE3B-9C8E-4C9C-B63B-8CAC8B7608C9}] => (Allow) C:\Windows.old.000\Program Files\Steam\Steam.exe => Нет файла FirewallRules: [{C99D1CE5-40EF-4933-B599-AE0D00379CF0}] => (Allow) C:\Windows.old.000\Program Files\Steam\Steam.exe => Нет файла FirewallRules: [{805325F8-FFAF-4980-B112-886AC623ECDA}] => (Allow) C:\Windows.old.000\Program Files\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла FirewallRules: [{06F2DD08-4B1A-4396-9B79-AF2109D447C5}] => (Allow) C:\Windows.old.000\Program Files\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла FirewallRules: [TCP Query User{6A8ABC9E-67EF-4B32-A67E-FE11D6606D9A}C:\windows.old.000\program files\steam\steamapps\common\sven co-op\svencoop.exe] => (Allow) C:\windows.old.000\program files\steam\steamapps\common\sven co-op\svencoop.exe => Нет файла FirewallRules: [UDP Query User{86D3D96B-13E6-45DD-8309-70289F58F9A6}C:\windows.old.000\program files\steam\steamapps\common\sven co-op\svencoop.exe] => (Allow) C:\windows.old.000\program files\steam\steamapps\common\sven co-op\svencoop.exe => Нет файла FirewallRules: [{CC4E1506-0F8C-4202-AE05-B2F123C96DBD}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла FirewallRules: [{A80C292C-CBBD-4C65-B5B7-8C74D10D9537}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла FirewallRules: [TCP Query User{28BA5AFE-32DF-4A77-B9D6-AA79A0E84260}C:\games\worms reloaded\wormsreloaded.exe] => (Block) C:\games\worms reloaded\wormsreloaded.exe => Нет файла FirewallRules: [UDP Query User{AE4DB841-9568-45A2-9D80-96C504497C5B}C:\games\worms reloaded\wormsreloaded.exe] => (Block) C:\games\worms reloaded\wormsreloaded.exe => Нет файла FirewallRules: [{106F0DD5-649A-45B5-A41B-236A45530C68}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла FirewallRules: [{9EA82597-81E8-4CDE-8B10-E7EA772277C9}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла FirewallRules: [{AC25C4AE-A336-41D5-AB29-EAF2339BF8BA}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла FirewallRules: [{01AB0DEF-B6E9-46CE-B9B1-1820F5C399DD}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла FirewallRules: [{D9783C63-8DE1-4A4F-9584-79893743E483}] => (Allow) C:\Users\User\AppData\Local\Programs\Opera\72.0.3815.186\opera.exe => Нет файла FirewallRules: [TCP Query User{B278A7C5-5EB3-41AA-9C95-FE3755833B0F}C:\programdata\ubar\ubar\ubar.exe] => (Block) C:\programdata\ubar\ubar\ubar.exe => Нет файла FirewallRules: [UDP Query User{F62CAEFB-049A-4496-B9D4-A88588BFC351}C:\programdata\ubar\ubar\ubar.exe] => (Block) C:\programdata\ubar\ubar\ubar.exe => Нет файла FirewallRules: [TCP Query User{B049C9A9-595F-4FB4-8D6A-411F2DE6EAB3}C:\windows.old.000\program files\serious sam gold edition\the second encounter\bin\serioussam.exe] => (Block) C:\windows.old.000\program files\serious sam gold edition\the second encounter\bin\serioussam.exe => Нет файла FirewallRules: [UDP Query User{8443D130-24CC-4ECD-BCD2-272093AB43DB}C:\windows.old.000\program files\serious sam gold edition\the second encounter\bin\serioussam.exe] => (Block) C:\windows.old.000\program files\serious sam gold edition\the second encounter\bin\serioussam.exe => Нет файла FirewallRules: [TCP Query User{1821860C-0BD3-41AA-A3AC-06B5BB6A4535}C:\windows.old.000\program files\serious sam gold edition\the first encounter\bin\serioussam.exe] => (Block) C:\windows.old.000\program files\serious sam gold edition\the first encounter\bin\serioussam.exe => Нет файла FirewallRules: [UDP Query User{3D0AD04B-B469-496A-B18F-D7AD329F456E}C:\windows.old.000\program files\serious sam gold edition\the first encounter\bin\serioussam.exe] => (Block) C:\windows.old.000\program files\serious sam gold edition\the first encounter\bin\serioussam.exe => Нет файла FirewallRules: [TCP Query User{F72D9721-FBA6-4D84-B734-BFDA828FBF01}C:\program files (x86)\buka\flat out\flatout.exe] => (Block) C:\program files (x86)\buka\flat out\flatout.exe => Нет файла FirewallRules: [UDP Query User{BD74F04D-313C-4223-9F47-E8CB06E3C784}C:\program files (x86)\buka\flat out\flatout.exe] => (Block) C:\program files (x86)\buka\flat out\flatout.exe => Нет файла FirewallRules: [TCP Query User{BA04725D-7CF2-404F-8C47-1DAB39245A29}C:\windows\aact.dll] => (Block) C:\windows\aact.dll => Нет файла FirewallRules: [UDP Query User{FF06F4F5-D13D-4B40-A2EA-E45817BC785B}C:\windows\aact.dll] => (Block) C:\windows\aact.dll => Нет файла FirewallRules: [TCP Query User{47A51B81-80DD-4F79-A989-D9F8169D3B77}C:\users\user\appdata\local\mediaget2\qtwebengineprocess.exe] => (Block) C:\users\user\appdata\local\mediaget2\qtwebengineprocess.exe (The Qt Company Oy -> The Qt Company Ltd.) FirewallRules: [UDP Query User{EADEF886-A7BA-47E8-A313-CDCC4092FF00}C:\users\user\appdata\local\mediaget2\qtwebengineprocess.exe] => (Block) C:\users\user\appdata\local\mediaget2\qtwebengineprocess.exe (The Qt Company Oy -> The Qt Company Ltd.) Reboot: End:: 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
2
|
0 / 0 / 0
Регистрация: 16.06.2022
Сообщений: 8
|
|
18.06.2022, 00:04 [ТС] | 8 |
Я так понял, мне нужно просто скопировать код и ничего больше с ним не делать?
Добавлено через 16 минут Ответил на свой вопрос: Буфер обмена, как я прочитал, это место, где хранится текст, файл и прочее, после копирования. То есть мне нужно было просто скопировать код и всё, что я и сделал. У меня возникла небольшая проблема: Мой файл fixlog.txt превышает допустимое на форуме значение по весу. Что мне делать?
0
|
0 / 0 / 0
Регистрация: 16.06.2022
Сообщений: 8
|
|
18.06.2022, 00:24 [ТС] | 9 |
Лог-файл в заархивированном виде, так как текстовый документ не смог прикрепить из-за его превышения по весу. Надеюсь, что это ни на что не повлияет.
Fixlog.rar
0
|
13216 / 7346 / 1558
Регистрация: 06.09.2009
Сообщений: 26,868
|
|
18.06.2022, 13:31 | 10 |
Проблема решена?
1
|
0 / 0 / 0
Регистрация: 16.06.2022
Сообщений: 8
|
|
18.06.2022, 13:49 [ТС] | 11 |
Да, спасибо вам большое.
У меня ещё такой вопрос: вирус мог перейти на флешку, если она была подключена в тот момент, когда был заражён компьютер?
0
|
13216 / 7346 / 1558
Регистрация: 06.09.2009
Сообщений: 26,868
|
|
18.06.2022, 16:15 | 12 |
Нет. Через флешки майнер не рапространяется.
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
1
|
0 / 0 / 0
Регистрация: 16.06.2022
Сообщений: 8
|
|
18.06.2022, 18:20 [ТС] | 13 |
0
|
13216 / 7346 / 1558
Регистрация: 06.09.2009
Сообщений: 26,868
|
|
18.06.2022, 18:26 | 14 |
1
|
18.06.2022, 18:26 | |
18.06.2022, 18:26 | |
Помогаю со студенческими работами здесь
14
Поймал майнер, судя по всему маскируется под realtekHD и taskhostw.exe Error. Line 25226 (File C:\ProgramData\RealtekHD\taskhost.exe): Error: Variable must be of type "Object КойнМайнер "RealtekHD\taskhost.exe" Taskhost.exe NT Kernel & System в папке Realtek HD Вирусы dwm.exe dllhost.exe ctfmon.exe svchost.exe Error. Line 25226 (File C:\ProgramData\RealtekHD\taskhost.exe): Error: Variable must be of type "Object" Autoit Error Line 25408 (File C:\ProgramData\realtekHD\taskhost.exe): Error: Variable must be of type "Object" Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |