Майнер taskhostw.exe

@SwitchMG · Регистрация: 25.06.2019

Author24 — интернет-сервис помощи студентам

Здравствуйте, обнаружил у себя неприятный вирус, который грузит процессор в 100% и блокирует сайты с антивирусами и гугл запросы про майнеры, также закрывает диспетчер задач и реестр. Смог установить антивирус Dr. Web Cureit скачав его предварительно на смартфон и скинув на пк. После работы антивируса больше ничего не появлялось. Уверен, что вирус (или его последствия) остались, так как не могу по вашей ссылке скачать autologger, да и на сайты не заходит, в адресной строке выдаёт dns.google и ошибку.

@Sandor · 10.11.2022, 09:39

Здравствуйте!

Сообщение от SwitchMG

Смог установить антивирус Dr. Web Cureit скачав его предварительно на смартфон и скинув на пк

Таким же образом:

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером уже в нормальном режиме по правилам раздела.

@SwitchMG · 10.11.2022, 13:35 **[ТС]**

Вот

@Sandor · 10.11.2022, 13:42

Хорошо. В целом уже должно полегчать, судя по логам.

Деинсталлируйте все версии Java, они устаревшие со множеством уязвимостей.
После, если понадобится, установите актуальную.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@SwitchMG · 10.11.2022, 15:26 **[ТС]**

Оба файла в архиве, спасибо за оказанную поддержку

@Sandor · 10.11.2022, 15:39

Внимание! Рекомендации написаны специально для пользователя SwitchMG. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Adobe Flash Player 32 PPAPI
Кнопка "Яндекс" на панели задач

2.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
AppInit_DLLs: prio.dll => Нет файла
IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\SppExtComObj.exe: [VerifierDlls] SppExtComObjHook.dll
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {107C5808-BF36-413C-99C9-619CD271F9CC} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_192_pepper.exe [1452600 2019-05-15] (Adobe Inc. -> Adobe)
Task: {CAAE6D3F-9AAF-4E21-918B-29A1B6F8428E} - System32\Tasks\Adobe Flash Player Updater => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [335416 2019-05-15] (Adobe Inc. -> Adobe)
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia]
CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj]
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
FirewallRules: [{A5DA4D70-C7B9-489A-A685-2B6334018773}] => (Allow) LPort=3306
FirewallRules: [{262A6CF1-6AD3-4074-B664-C5D4CA1FDD00}] => (Allow) LPort=33060
FirewallRules: [{5D82A543-A2D9-411C-9808-4B5EFC769D16}] => (Allow) LPort=53
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@SwitchMG · 10.11.2022, 16:31 **[ТС]**

Надеюсь теперь всё в порядке

@Sandor · 10.11.2022, 16:42

Вам виднее

По логам - порядок.

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@SwitchMG · 10.11.2022, 18:01 **[ТС]**

Интересно, сколько майнер заработал на моём процессоре, там хотя бы 10$ будет?)

@Sandor · 11.11.2022, 09:35

-------------------------- [ SecurityUtilities ] --------------------------
AdGuard v.7.9.3869.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft SQL Server 2012 Command Line Utilities v.11.3.6020.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2012 Native Client v.11.3.6518.0 Данная программа больше не поддерживается разработчиком.
------------------------------ [ ArchAndFM ] ------------------------------
Far Manager 3 x64 v.3.0.5254 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Telegram Desktop version 4.2.4 v.4.2.4 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46148 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.16 Внимание! Скачать обновления
Spotify v.1.1.20.510.g7d28aaaa Внимание! Скачать обновления
AIMP v.v4.51.2080, 07.07.2018 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.22.9.5.710 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Читайте Рекомендации после удаления вредоносного ПО

@SwitchMG 0 / 0 / 0 Регистрация: 25.06.2019 Сообщений: 10
		1
	Майнер taskhostw.exe 10.11.2022, 00:24. Показов 739. Ответов 9 Метки нет (Все метки) Здравствуйте, обнаружил у себя неприятный вирус, который грузит процессор в 100% и блокирует сайты с антивирусами и гугл запросы про майнеры, также закрывает диспетчер задач и реестр. Смог установить антивирус Dr. Web Cureit скачав его предварительно на смартфон и скинув на пк. После работы антивируса больше ничего не появлялось. Уверен, что вирус (или его последствия) остались, так как не могу по вашей ссылке скачать autologger, да и на сайты не заходит, в адресной строке выдаёт dns.google и ошибку. 0

@Sandor 21968 / 15749 / 3045 Регистрация: 08.10.2012 Сообщений: 64,025
	10.11.2022, 09:39	2
	Здравствуйте! Сообщение от SwitchMG Смог установить антивирус Dr. Web Cureit скачав его предварительно на смартфон и скинув на пк Таким же образом: Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Как вариант, можно воспользоваться версией со случайным именем. Если и так не сработает, запускайте в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите CollectionLog Автологером уже в нормальном режиме по правилам раздела. 0

@Sandor 21968 / 15749 / 3045 Регистрация: 08.10.2012 Сообщений: 64,025
	10.11.2022, 13:42	4
	Хорошо. В целом уже должно полегчать, судя по логам. Деинсталлируйте все версии Java, они устаревшие со множеством уязвимостей. После, если понадобится, установите актуальную. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 0

@Sandor 21968 / 15749 / 3045 Регистрация: 08.10.2012 Сообщений: 64,025
	10.11.2022, 15:39	6
	Внимание! Рекомендации написаны специально для пользователя SwitchMG. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ 1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Adobe Flash Player 32 PPAPI Кнопка "Яндекс" на панели задач 2. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ВНИМАНИЕ HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ AppInit_DLLs: prio.dll => Нет файла IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll IFEO\SppExtComObj.exe: [VerifierDlls] SppExtComObjHook.dll GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {107C5808-BF36-413C-99C9-619CD271F9CC} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_192_pepper.exe [1452600 2019-05-15] (Adobe Inc. -> Adobe) Task: {CAAE6D3F-9AAF-4E21-918B-29A1B6F8428E} - System32\Tasks\Adobe Flash Player Updater => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [335416 2019-05-15] (Adobe Inc. -> Adobe) CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] FirewallRules: [{A5DA4D70-C7B9-489A-A685-2B6334018773}] => (Allow) LPort=3306 FirewallRules: [{262A6CF1-6AD3-4074-B664-C5D4CA1FDD00}] => (Allow) LPort=33060 FirewallRules: [{5D82A543-A2D9-411C-9808-4B5EFC769D16}] => (Allow) LPort=53 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 0

@Sandor 21968 / 15749 / 3045 Регистрация: 08.10.2012 Сообщений: 64,025
	10.11.2022, 16:42	8
	Вам виднее По логам - порядок. В завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21968 / 15749 / 3045 Регистрация: 08.10.2012 Сообщений: 64,025
	11.11.2022, 09:35	10
	-------------------------- [ SecurityUtilities ] -------------------------- AdGuard v.7.9.3869.0 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- Microsoft SQL Server 2012 Command Line Utilities v.11.3.6020.0 Данная программа больше не поддерживается разработчиком. Microsoft SQL Server 2012 Native Client v.11.3.6518.0 Данная программа больше не поддерживается разработчиком. ------------------------------ [ ArchAndFM ] ------------------------------ Far Manager 3 x64 v.3.0.5254 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Discord v.0.0.309 Внимание! Скачать обновления Telegram Desktop version 4.2.4 v.4.2.4 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.46148 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- VLC media player v.3.0.16 Внимание! Скачать обновления Spotify v.1.1.20.510.g7d28aaaa Внимание! Скачать обновления AIMP v.v4.51.2080, 07.07.2018 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Yandex v.22.9.5.710 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Читайте Рекомендации после удаления вредоносного ПО 0