Последствия вируса.

**TheDenK** · 10.03.2022, 19:46

Здравствуйте.
В ноябре словил вирус taskhostw.exe, с помощью утилиты AV block remove, вроде бы, благополучно справился с ним, по крайней мере явных следов его присутствия не было обнаружено, а все побочки в виде блокированного hosts были устранены.
На сим моменте забыл про ту напасть, до недавних событий. Настораживает загрузка процессора, резкие скачки нагрузки (резко падает при включении диспетчера задач), последнее время несколько раз происходил перегрев, хотя железо регулярно чистится, и, в общем, переживаю о наличии майнера с тех самых времен, когда поймал указанный выше вирус.
Прошу помочь развеять опасения или же, если что-то будет обнаружено, вылечить это.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.03.2022, 19:47

Уважаемый(ая) TheDenK, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 10.03.2022, 21:15

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Данил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\UbisoftConnect\Ubisoft Connect.lnk"   -> ["C:\Program Files\Ubisoft\Ubisoft Game Launcher\UbisoftConnect.exe"]
>>>  "C:\Users\Данил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\UbisoftConnect\Uninstall.lnk"         -> ["C:\Program Files\Ubisoft\Ubisoft Game Launcher\Uninstall.exe"]
>>>  "C:\Users\Данил\AppData\Local\Microsoft\Windows\GameExplorer\{D1933006-1B3F-4251-8CFB-6C5F4DE5A8E9}\PlayTasks\0\Играть.lnk"   -> ["C:\Games\Gothic 3\Gothic3.exe"]
>>>  "C:\Users\Данил\AppData\Local\Microsoft\Windows\GameExplorer\{771AC1CF-6123-4DCF-B088-4A1284E8CE58}\PlayTasks\0\Играть.lnk"   -> ["C:\Games\The Elder Scrolls IV - Oblivion\Oblivion.exe"]
>>>  "C:\Users\Данил\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\fb930c38d7352c96\League of Legends.lnk"           -> ["C:\Games\Riot Games\League of Legends\LeagueClient.exe"]
>>>  "C:\Users\Данил\AppData\Local\Microsoft\Windows\GameExplorer\{DAB9A68E-25ED-4365-A7F0-32D0695E7944}\PlayTasks\0\Играть.lnk"   -> ["C:\Program Files\Ubisoft\Ubisoft Game Launcher\games\Prince of Persia Sands of Time\PrinceOfPersia.EXE"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ENPY Studio\Trine\Trine.lnk"    -> ["C:\Program Files\Steam\steamapps\common\Trine\trine_launcher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ENPY Studio\Trine\Trine - Enchanted Edition.lnk"    -> ["C:\Program Files\Steam\steamapps\common\Trine\_enchanted_edition_\trine1_launcher.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\E6636676DE074741DA3E5D0B2852BF8A: [SuggestionsURL_JSON] = http://suggest.yandex.net/suggest-ff.cgi?part={searchTerms} - GoSearch
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\E6636676DE074741DA3E5D0B2852BF8A: [URL] = http://go-search.ru/search?q={searchTerms} - GoSearch
O4 - MSConfig\startupreg: CCleaner Monitoring [command] = C:\Program Files\CCleaner\CCleaner.exe /MONITOR (HKCU) (2019/05/07) (file missing)
O4 - MSConfig\startupreg: DAEMON Tools Lite Automount [command] = C:\Program Files\DAEMON Tools Lite\DTAgent.exe -autorun (HKCU) (2018/11/22) (file missing)
O4 - MSConfig\startupreg: Discord [command] = C:\Users\Данил\AppData\Local\Discord\app-0.0.296\Discord.exe (HKCU) (2016/11/02) (file missing)
O4 - MSConfig\startupreg: FreeAC [command] = C:\Program Files\FreeAlarmClock\FreeAlarmClock.exe -autorun (HKCU) (2018/09/09) (file missing)
O4 - MSConfig\startupreg: hdtask [command] = C:\ProgramData\hdtask\hdtask.exe (HKCU) (2016/11/02) (file missing)
O4 - MSConfig\startupreg: LogMeIn Hamachi Ui [command] = C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe --auto-start (HKLM) (2019/05/07) (file missing)
O4 - MSConfig\startupreg: SandboxieControl [command] = C:\Program Files\Sandboxie\SbieCtrl.exe (HKCU) (2016/11/02) (file missing)
O4 - MSConfig\startupreg: Skype [command] = C:\Program Files\Skype\Phone\Skype.exe /minimized /regrun (HKCU) (2018/09/07) (file missing)
O22 - Task: (damaged) \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - C:\Windows\system32\CompatTelRunner.exe (Microsoft) (user missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{06352C94-AF2C-4413-9E21-05AB4B05BF56} - \GoogleUpdateTaskUserS-1-5-21-1970835742GUI (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{643FD134-AB88-45E1-9EAA-20C07A5D7F5D} - \Microsoft\SafeBrowser (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8BA24443-7BC8-48A2-9D85-A51FDEBF6908} - \Microsoft\Windows\Wininet\RealtekHDControl (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{93BEF454-406B-4892-9289-72A0738D0A66} - \Microsoft\extsetup (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{97A54264-F97D-43AC-A75D-1158EE6355AF} - \Microsoft\Windows\SafeBrowser (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A59B7F18-3BED-4E65-A40F-6A78FD59DFA7} - \Microsoft\Windows\Wininet\RealtekHDStartUP (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A8D455BF-3F28-469E-A3EC-F4FD353CB64D} - \Microsoft\Windows\extsetup (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CD999504-BED8-4219-9480-2998D7582D3E} - \Microsoft\KRBUUS\KRB Updater Utility Service (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F33FF231-3C15-4CDB-8D6A-9D1313AA6784} - \Microsoft\Windows\Wininet\Cleaner (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avast Software (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OfficeSoftwareProtectionPlatform (empty)
O22 - Task: (disabled) \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask - {B1AEBB5D-EAD9-4476-B375-9C3ED9F32AFC},timer - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTaskNetwork - {B1AEBB5D-EAD9-4476-B375-9C3ED9F32AFC},network - (no file)
O22 - Task: \Microsoft\KRBUUS\KRBLNKRUN - C:\Program Files\Kinoroom Browser\krbrowser.exe (file missing)
O22 - Task: \Microsoft\Windows\A50826466-06BA-41C1-86D1-E73296B40536 - C:\ProgramData\Microsoft\Adobe\Flash Player\50826466-06BA-41C1-86D1-E73296B40536\83167B4F-9638-42AF-B648-13BF58CC7AF2.exe -startup (file missing)
O22 - Task: \Microsoft\Windows\AppID\EDP Policy Manager - {DECA92E0-AF85-439E-9204-86679978DA08},EdpPolicyManager - (no file)
O22 - Task: \Microsoft\Windows\AppID\SmartScreenSpecific - {9F2B0085-9218-42A1-88B0-9F0E65851666},U - (no file)
O22 - Task: \Microsoft\Windows\CertificateServicesClient\AikCertEnrollTask - {47E30D54-DAC1-473A-AFF7-2355BF78881F},AIKCertEnroll - (no file)
O22 - Task: \Microsoft\Windows\CertificateServicesClient\CryptoPolicyTask - {47E30D54-DAC1-473A-AFF7-2355BF78881F},CryptoPolicy - (no file)
O22 - Task: \Microsoft\Windows\CertificateServicesClient\KeyPreGenTask - {47E30D54-DAC1-473A-AFF7-2355BF78881F},NGCKeyPregen - (no file)
O22 - Task: \Microsoft\Windows\Defrag\ScheduledDefrag - C:\Windows\system32\defrag.exe -c -h -o -$ (Microsoft)
O22 - Task: \Microsoft\Windows\Location\Notifications - C:\Windows\System32\LocationNotificationWindows.exe (file missing)
O22 - Task: \Microsoft\Windows\Location\WindowsActionDialog - C:\Windows\System32\WindowsActionDialog.exe (file missing)
O22 - Task: \Microsoft\Windows\MemoryDiagnostic\ProcessMemoryDiagnosticEvents - {8168E74A-B39F-46D8-ADCD-7BED477B80A3},Event - (no file)
O22 - Task: \Microsoft\Windows\MemoryDiagnostic\RunFullMemoryDiagnostic - {8168E74A-B39F-46D8-ADCD-7BED477B80A3},Time - (no file)
O22 - Task: \Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem - {927EA2AF-1C54-43D5-825E-0074CE028EEE} - (no file)
O22 - Task: \Microsoft\Windows\Shell\CreateObjectTask - {990A9F8F-301F-45F7-8D0E-68C5952DBA43} - (no file)
O22 - Task: \Microsoft\Windows\Shell\FamilySafetyMonitor - C:\Windows\System32\wpcmon.exe (file missing)
O22 - Task: \Microsoft\Windows\Shell\FamilySafetyRefresh - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},$(Arg0) - (no file)
O22 - Task: \Microsoft\Windows\Shell\IndexerAutomaticMaintenance - {3FBA60A6-7BF5-4868-A2CA-6623B3DFFEA6} - (no file)
O22 - Task: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTaskLogon - {B1AEBB5D-EAD9-4476-B375-9C3ED9F32AFC},logon - (no file)
O22 - Task: \Microsoft\Windows\SystemRestore\SR - C:\Windows\system32\srtasks.exe ExecuteScheduledSPPCreation (file missing)
O22 - Task: \Microsoft\Windows\Time Synchronization\ForceSynchronizeTime - {A31AD6C2-FF4C-43D4-8E90-7101023096F9},TimeSyncTask - (no file)

Сделайте лог Malwarebytes AdwCleaner.

**TheDenK** · 11.03.2022, 13:03

Выполнено.

**Vvvyg** · 11.03.2022, 13:35

Если Вы уже закрыли приложение, запустите повторное сканирование в Malwarebytes AdwCleaner, установите в пункте меню "Настройки" (Settings) дополнительно к отмеченным по умолчанию галочку "Сбросить политики Chrome (Reset Chrome Policies".
Затем нажмите Карантин (Quarantine) под списком найденного. Программа может предложить перезагрузить систему, сделайте тогда это.

После перезагрузки в меню Файлы журналов программы будет лог очистки, файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.

Каких-либо признаков майнера в системе не видно.

**TheDenK** · 11.03.2022, 16:05

Лог прикрепляю.
Огромное спасибо за помощь, значит взыграла моя паранойя.

Последствия вируса. (заявка № 227705)

Опции темы