Здравствуйте, подцепил майнер microsofthost.exe. помогите, пожалуйста, удалить. Так же блокирует доступ с пк к вашему сайту. Пишу с телефона
Printable View
Здравствуйте, подцепил майнер microsofthost.exe. помогите, пожалуйста, удалить. Так же блокирует доступ с пк к вашему сайту. Пишу с телефона
Уважаемый(ая) [B]Aleksandr787[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Avz запускается и сразу пропадает. Не могу сделать проверку. Запускаю от имени администратора. Антивирус выключен
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
При запуске диспетчера задач процесс microsofthost.exe сразу завершается
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Логи
В безопасном режиме логи сделайте.
Вот логи в безопасном режиме
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '');
QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '');
DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
DeleteFileMask('c:\program files\rdp wrapper', '*', true);
DeleteFileMask('c:\programdata\realtekhd', '*', true);
DeleteDirectory('c:\program files\rdp wrapper');
DeleteDirectory('c:\programdata\realtekhd');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
DeleteSchedulerTask('Microsoft\Windows\Wininet\SystemC');
DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(13);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Запустите HijackThis, расположенный в папке Autologger (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B])и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Все сделал
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
S3 TermService; %ProgramFiles%\RDP Wrapper\rdpwrap.dll [X] <==== ATTENTION (no ServiceDLL)
S4 asComSvc; "C:\Program Files (x86)\ASUS\AXSP\4.00.38\atkexComSvc.exe" [X]
S4 EasyAntiCheat; "C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe" [X]
S1 EneTechIo; \??\C:\WINDOWS\system32\drivers\ene.sys [X]
2020-05-24 10:53 - 2020-05-24 10:53 - 000000000 __SHD C:\rdp
2020-05-25 14:35 - 2020-03-03 12:23 - 000000000 __SHD C:\ProgramData\WindowsTask
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
FirewallRules: [{3EFB67B4-BA86-4FA4-8488-99DA3D83824B}] => (Block) LPort=139
FirewallRules: [{F9A2F055-D83E-4429-B6CC-5C2C7B9C84E1}] => (Block) LPort=139
FirewallRules: [{29E98091-347F-4D31-A97E-6828D9745FF6}] => (Block) LPort=445
FirewallRules: [{1033F97B-A82D-42DC-9D23-714970673FEB}] => (Block) LPort=445
FirewallRules: [UDP Query User{4292D010-326D-4E6F-8587-1110CD94D76C}D:\games\maniaplanet\maniaplanet.exe] => (Block) D:\games\maniaplanet\maniaplanet.exe => No File
FirewallRules: [TCP Query User{2972CB49-BD10-41EA-9EB9-839E919C75C5}D:\games\maniaplanet\maniaplanet.exe] => (Block) D:\games\maniaplanet\maniaplanet.exe => No File
FirewallRules: [UDP Query User{E36678A5-519F-4CAA-859A-39EF4A2B5F13}C:\games\world_of_tanks\win32\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\win32\worldoftanks.exe => No File
FirewallRules: [TCP Query User{E62A0B09-628E-4580-80D5-65AC0A0991D9}C:\games\world_of_tanks\win32\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\win32\worldoftanks.exe => No File
FirewallRules: [UDP Query User{FC1516CB-F99E-42C4-AD23-0412B187E849}D:\games\world_of_tanks_eu\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_eu\worldoftanks.exe => No File
FirewallRules: [TCP Query User{CABB5DEC-D636-44AF-93A9-B501356B95C3}D:\games\world_of_tanks_eu\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_eu\worldoftanks.exe => No File
FirewallRules: [{0D5B71D8-BF59-441C-9E84-6F6C822318B8}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => No File
FirewallRules: [{5E9EA280-5DEF-43E3-99CB-A8226B0BE14C}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => No File
FirewallRules: [{A3B47416-2A12-4054-90B2-ACDBBE9C4CF4}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => No File
FirewallRules: [{CA7933A6-96CA-4F70-B9C0-9FB6BFD41763}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => No File
FirewallRules: [UDP Query User{4D1202B1-B627-4B79-8906-B0BE9FBBEC1F}D:\r.g. catalyst\portal 2\portal2.exe] => (Allow) D:\r.g. catalyst\portal 2\portal2.exe => No File
FirewallRules: [TCP Query User{C9D110DA-E399-46DA-98DE-5F4FBBEC7EF8}D:\r.g. catalyst\portal 2\portal2.exe] => (Allow) D:\r.g. catalyst\portal 2\portal2.exe => No File
FirewallRules: [UDP Query User{03E53F88-7104-46B0-9B87-73C13CC4A86B}C:\program files\any send\any send.exe] => (Allow) C:\program files\any send\any send.exe => No File
FirewallRules: [TCP Query User{20A38479-2A41-40A2-8E1D-264B8F4A9715}C:\program files\any send\any send.exe] => (Allow) C:\program files\any send\any send.exe => No File
FirewallRules: [UDP Query User{B17049C9-F9E7-4D68-A1BB-6DB7A80EB7C0}D:\games\left 4 dead 2\left4dead2.exe] => (Allow) D:\games\left 4 dead 2\left4dead2.exe => No File
FirewallRules: [TCP Query User{E651C2BA-500A-4C46-9EEC-4E54F0B4BAFC}D:\games\left 4 dead 2\left4dead2.exe] => (Allow) D:\games\left 4 dead 2\left4dead2.exe => No File
FirewallRules: [UDP Query User{92C4855A-C3A8-4064-8751-E325FDF4809D}D:\games\left4dead2 fatal return\resources\left4dead2.exe] => (Allow) D:\games\left4dead2 fatal return\resources\left4dead2.exe => No File
FirewallRules: [TCP Query User{04B9B4CD-5673-4DA4-8A03-248FCC814341}D:\games\left4dead2 fatal return\resources\left4dead2.exe] => (Allow) D:\games\left4dead2 fatal return\resources\left4dead2.exe => No File
FirewallRules: [UDP Query User{B87F0328-4599-4C5B-BDF8-1A92DF140852}D:\games\grand theft auto v\gta5.exe] => (Allow) D:\games\grand theft auto v\gta5.exe => No File
FirewallRules: [TCP Query User{E4BBA5F1-2D96-4877-B388-1DAC6480CC64}D:\games\grand theft auto v\gta5.exe] => (Allow) D:\games\grand theft auto v\gta5.exe => No File
FirewallRules: [UDP Query User{6C5564A1-AFB2-446D-8B38-55AC40DAEE87}D:\games\mortal kombat xl\binaries\retail\mk10.exe] => (Allow) D:\games\mortal kombat xl\binaries\retail\mk10.exe => No File
FirewallRules: [TCP Query User{BB1CC394-60F5-41F0-B24E-4F0903B7A472}D:\games\mortal kombat xl\binaries\retail\mk10.exe] => (Allow) D:\games\mortal kombat xl\binaries\retail\mk10.exe => No File
FirewallRules: [UDP Query User{447DFE96-0EDB-44BD-8A96-A36654C90F02}C:\games\world_of_tanks\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\worldoftanks.exe => No File
FirewallRules: [TCP Query User{9C48657B-7FE4-40FB-9F0F-6CE4A3A13D70}C:\games\world_of_tanks\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\worldoftanks.exe => No File
FirewallRules: [TCP Query User{8EE19405-BB36-4048-8E95-1593B1EE531D}D:6\games\world war z\en_us\client\bin\pc\wwzretailegs.exe] => (Allow) D:6\games\world war z\en_us\client\bin\pc\wwzretailegs.exe => No File
FirewallRules: [UDP Query User{CE82219F-F180-421B-A60B-3A19D71911D8}D:6\games\world war z\en_us\client\bin\pc\wwzretailegs.exe] => (Allow) D:6\games\world war z\en_us\client\bin\pc\wwzretailegs.exe => No File
FirewallRules: [TCP Query User{19E661C0-A20F-4305-A9E1-5C8AA0524A81}D:\games\world_of_tanks_eu\win32\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_eu\win32\worldoftanks.exe => No File
FirewallRules: [UDP Query User{D95F7D2D-EB0D-464C-BFA9-BDFB25C3395F}D:\games\world_of_tanks_eu\win32\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_eu\win32\worldoftanks.exe => No File
FirewallRules: [TCP Query User{4846BD23-DED5-4CBE-BD02-84E98E00C9A1}C:\games\unravel two\unraveltwo.exe] => (Allow) C:\games\unravel two\unraveltwo.exe => No File
FirewallRules: [UDP Query User{5DA7A1F1-141A-4116-804F-132B2537774E}C:\games\unravel two\unraveltwo.exe] => (Allow) C:\games\unravel two\unraveltwo.exe => No File
FirewallRules: [TCP Query User{5DB88DDA-D759-44D7-9AAF-C5DA13A68A7E}D:0\games\life is strange 2 episode 1-2\lis2\binaries\win64\lis2-win64-shipping.exe] => (Allow) D:0\games\life is strange 2 episode 1-2\lis2\binaries\win64\lis2-win64-shipping.exe => No File
FirewallRules: [UDP Query User{479E8387-1159-4183-865C-1148C090D75E}D:0\games\life is strange 2 episode 1-2\lis2\binaries\win64\lis2-win64-shipping.exe] => (Allow) D:0\games\life is strange 2 episode 1-2\lis2\binaries\win64\lis2-win64-shipping.exe => No File
FirewallRules: [{89B26C53-EA79-4398-9A60-D09195E4D632}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File
FirewallRules: [{CE2B2021-9300-496E-ACE9-77B44AD42AD2}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File
FirewallRules: [TCP Query User{159F1911-406E-4B12-9850-65632D640893}C:\games\world_of_tanks\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\win64\worldoftanks.exe => No File
FirewallRules: [UDP Query User{B9470EF9-ACAC-4627-863E-9CD20FEE4B94}C:\games\world_of_tanks\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\win64\worldoftanks.exe => No File
FirewallRules: [{7D40A45A-B830-4A30-9C8A-05A4680EE43F}] => (Allow) C:\Games\WGCheck RU\WGCheck.exe => No File
FirewallRules: [{8B1971F8-3A70-4FC0-93EA-C09C59FFDCB7}] => (Allow) C:\Games\WGCheck RU\WGCheck.exe => No File
FirewallRules: [TCP Query User{FDFF8F67-D3FC-4AF8-9464-7D2FFC01A20D}D:0\games\quantum break\dx11\quantumbreak.exe] => (Allow) D:0\games\quantum break\dx11\quantumbreak.exe => No File
FirewallRules: [UDP Query User{1E6AD6BF-BC31-4DFC-95CF-6CCC10EEFC19}D:0\games\quantum break\dx11\quantumbreak.exe] => (Allow) D:0\games\quantum break\dx11\quantumbreak.exe => No File
FirewallRules: [{30B6DA9E-261E-438E-AFBD-F850988B7653}] => (Block) LPort=445
FirewallRules: [{80A9F492-9206-4FD6-8484-4FA72F84A81D}] => (Block) LPort=445
FirewallRules: [{760FE440-E30F-459C-A18C-680DBF5FB85F}] => (Block) LPort=139
FirewallRules: [{4FB318C5-49FB-4B72-9EA7-FF761566389F}] => (Block) LPort=139
FirewallRules: [{62D54D43-8D01-43E9-A91B-E3CC1C4EB012}] => (Allow) LPort=3389
FirewallRules: [{ACB58CC6-2B14-4E61-8C90-4C5954C54ACE}] => (Allow) LPort=3389
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
Если просто скопировать текст в буфер, то при нажатии кнопки fix ничего не происходит. Программа предложила создать файл fixlist.txt. Создал и вставил туда текст. файл fixlog создался, но пк не перезагрузился. сейчас перезагружу сам и включу интернет - проверю результат.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Пока все нормально, большое спасибо)
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Единственное, что напрягает, так это папка crypto по пути C:\ProgramData\Microsoft. при попытке удалить ее с помощью revo uninstaller - находит какие-то базы журналов и при перезагрузке все равно появляется снова. она как-то связана с данным вирусом или на нее можно забить? так же при перезагрузке (уже при загрузке рабочего стола) возникает трехкратный сигнал, как при залипании клавиш..
Не трогайте эту папку, там системные ключи шифрования.
Фикс не сработал, возможно потому, что не полностью текст копировали. Попробуйте ещё раз. Не сработает - положите файл фикса рядом с программой (на рабочий стол) и ещё раз.
[ATTACH=CONFIG]682093[/ATTACH]
Все получилось, спасибо)
Всё на этом.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Хорошо, сделаю. Спасибо)