Добрый вечер!
Уже не первый месяц мучает низкая производительность, заметил процесс taskhostw, майнер.
Прикрепляю лог.
Printable View
Добрый вечер!
Уже не первый месяц мучает низкая производительность, заметил процесс taskhostw, майнер.
Прикрепляю лог.
Уважаемый(ая) [B]LiveviL[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скачайте, распакуйте и запустите [URL="https://inlnk.ru/oeln70"]утилиту AV block remove[/URL], следуйте инструкциям. Если не запустится - переименуйте файл.
Файл [B]AV_block_remove_дата_время.log[/B] из папки с программы прикрепите к своему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Скачал, запустил.
После блокировки в какой-то момент появилось окно, что этот майнер также блокирует Hosts, нажал да и компьютер перезагрузился.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Нет файла)
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> search-cdn.net
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect64.dll [Нет файла]
FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect32.dll [Нет файла]
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchKeyword: System Profile -> cdn
C:\Users\mi\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
CHR Extension: (Find-it.pro) - C:\Users\mi\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig [2019-08-28]
CHR HKLM\...\Chrome\Extension: [joiapjkjgbcljoopaenlplkfapolkdhp]
CHR HKLM-x32\...\Chrome\Extension: [joiapjkjgbcljoopaenlplkfapolkdhp]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2021-04-11 19:59 - 2021-04-11 19:59 - 000015908 _____ () C:\Users\mi\AppData\Local\Bzc5quHIb29Yid9iMw1j1rol__sVdJB2
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
HKU\S-1-5-21-2953832667-71458024-2376117615-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
SearchScopes: HKU\S-1-5-21-2953832667-71458024-2376117615-1001 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2953832667-71458024-2376117615-1001 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2953832667-71458024-2376117615-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2953832667-71458024-2376117615-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
HKLM\...\StartupApproved\Run: => "aticonto"
HKLM\...\StartupApproved\Run32: => "ZaxarLoader"
HKU\S-1-5-21-2953832667-71458024-2376117615-1001\...\StartupApproved\Run: => "Windscribe"
FirewallRules: [TCP Query User{089D347F-6696-4298-A177-EF59CC0D4147}D:\games\steamapps\common\fifa 22\fifa22.exe] => (Allow) D:\games\steamapps\common\fifa 22\fifa22.exe (Electronic Arts, Inc. -> Electronic Arts)
FirewallRules: [UDP Query User{6CFA0130-B927-4D9B-9757-3ADBB56E2D5F}C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.2.1.0_x64__t4vj0pshhgkwm\telegram.exe] => (Allow) C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.2.1.0_x64__t4vj0pshhgkwm\telegram.exe => Нет файла
FirewallRules: [TCP Query User{2BBD25F0-8D25-48BE-B834-4D0EE190014B}C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.2.1.0_x64__t4vj0pshhgkwm\telegram.exe] => (Allow) C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.2.1.0_x64__t4vj0pshhgkwm\telegram.exe => Нет файла
FirewallRules: [UDP Query User{C97F7694-0C4C-4549-AEC9-177AF33690F1}C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.1.0.0_x64__t4vj0pshhgkwm\telegram.exe] => (Allow) C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.1.0.0_x64__t4vj0pshhgkwm\telegram.exe => Нет файла
FirewallRules: [TCP Query User{DFD84B36-6C93-414F-8B50-770B586C9D56}C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.1.0.0_x64__t4vj0pshhgkwm\telegram.exe] => (Allow) C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.1.0.0_x64__t4vj0pshhgkwm\telegram.exe => Нет файла
FirewallRules: [{80D1EBB9-A339-4B8B-A66F-649D1634D3FC}] => (Allow) C:\Users\mi\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{934CF878-30D0-4A3C-BE37-CC04665CD29B}] => (Allow) C:\Users\mi\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{A0582BDB-99E3-4BDE-A793-9B8BD8ED80B6}C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45505.exe] => (Block) C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45505.exe => Нет файла
FirewallRules: [UDP Query User{9E5A26AC-B3BB-46E2-B248-E2B520BA1103}C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45505.exe] => (Block) C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45505.exe => Нет файла
FirewallRules: [{20415FCD-A49A-445D-9426-10E616C6AD90}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{938B22B5-2A77-46C9-BDDB-A8B25ECFF9B5}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{0984A81F-D281-4738-B080-574049C7CCCC}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{A3124054-79BC-4068-A650-36970AEB722A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{CA6A4130-361D-45FB-8A85-3CF3074D83EE}] => (Allow) LPort=9393
FirewallRules: [{5E2582C8-64B6-4C9E-B0FA-1285313CA03C}] => (Allow) LPort=9494
FirewallRules: [{22291A20-A09A-4B2E-83C8-E536795BB484}] => (Allow) LPort=9494
FirewallRules: [{BD9184DB-A86F-43EB-86EB-E75C729C5686}] => (Allow) LPort=9393
FirewallRules: [TCP Query User{8EB15230-B380-4B0F-BF74-B0D448621D00}C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45776.exe] => (Allow) C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45776.exe => Нет файла
FirewallRules: [UDP Query User{ABFE8615-6EDE-4C07-8BBA-178F2D1E7D81}C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45776.exe] => (Allow) C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45776.exe => Нет файла
Unlock: C:\Program Files\ESET
SetDefaultFilePermissions: C:\Program Files\ESET
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сделайте новый лог Farbar Recovery Scan Tool.
Сделал, прикрепляю Fixlog и новый лог Farbar Recovery Scan Tool
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Проблема решена, как я понимаю.