Помогите! Вирус taskhostw.exe, прикидывается RealtekHD

**LiveviL** · 09.03.2022, 19:09

Добрый вечер!
Уже не первый месяц мучает низкая производительность, заметил процесс taskhostw, майнер.
Прикрепляю лог.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.03.2022, 19:11

Уважаемый(ая) LiveviL, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 09.03.2022, 20:05

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**LiveviL** · 09.03.2022, 20:27

Скачал, запустил.
После блокировки в какой-то момент появилось окно, что этот майнер также блокирует Hosts, нажал да и компьютер перезагрузился.

**Vvvyg** · 09.03.2022, 21:42

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Нет файла)
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> search-cdn.net
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect64.dll [Нет файла]
FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\npAdobeAAMDetect32.dll [Нет файла]
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
CHR DefaultSearchKeyword: System Profile -> cdn
C:\Users\mi\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
CHR Extension: (Find-it.pro) - C:\Users\mi\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig [2019-08-28]
CHR HKLM\...\Chrome\Extension: [joiapjkjgbcljoopaenlplkfapolkdhp]
CHR HKLM-x32\...\Chrome\Extension: [joiapjkjgbcljoopaenlplkfapolkdhp]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2021-04-11 19:59 - 2021-04-11 19:59 - 000015908 _____ () C:\Users\mi\AppData\Local\Bzc5quHIb29Yid9iMw1j1rol__sVdJB2
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
HKU\S-1-5-21-2953832667-71458024-2376117615-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
SearchScopes: HKU\S-1-5-21-2953832667-71458024-2376117615-1001 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2953832667-71458024-2376117615-1001 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2953832667-71458024-2376117615-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2953832667-71458024-2376117615-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
HKLM\...\StartupApproved\Run: => "aticonto"
HKLM\...\StartupApproved\Run32: => "ZaxarLoader"
HKU\S-1-5-21-2953832667-71458024-2376117615-1001\...\StartupApproved\Run: => "Windscribe"
FirewallRules: [TCP Query User{089D347F-6696-4298-A177-EF59CC0D4147}D:\games\steamapps\common\fifa 22\fifa22.exe] => (Allow) D:\games\steamapps\common\fifa 22\fifa22.exe (Electronic Arts, Inc. -> Electronic Arts)
FirewallRules: [UDP Query User{6CFA0130-B927-4D9B-9757-3ADBB56E2D5F}C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.2.1.0_x64__t4vj0pshhgkwm\telegram.exe] => (Allow) C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.2.1.0_x64__t4vj0pshhgkwm\telegram.exe => Нет файла
FirewallRules: [TCP Query User{2BBD25F0-8D25-48BE-B834-4D0EE190014B}C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.2.1.0_x64__t4vj0pshhgkwm\telegram.exe] => (Allow) C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.2.1.0_x64__t4vj0pshhgkwm\telegram.exe => Нет файла
FirewallRules: [UDP Query User{C97F7694-0C4C-4549-AEC9-177AF33690F1}C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.1.0.0_x64__t4vj0pshhgkwm\telegram.exe] => (Allow) C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.1.0.0_x64__t4vj0pshhgkwm\telegram.exe => Нет файла
FirewallRules: [TCP Query User{DFD84B36-6C93-414F-8B50-770B586C9D56}C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.1.0.0_x64__t4vj0pshhgkwm\telegram.exe] => (Allow) C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_3.1.0.0_x64__t4vj0pshhgkwm\telegram.exe => Нет файла
FirewallRules: [{80D1EBB9-A339-4B8B-A66F-649D1634D3FC}] => (Allow) C:\Users\mi\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{934CF878-30D0-4A3C-BE37-CC04665CD29B}] => (Allow) C:\Users\mi\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{A0582BDB-99E3-4BDE-A793-9B8BD8ED80B6}C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45505.exe] => (Block) C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45505.exe => Нет файла
FirewallRules: [UDP Query User{9E5A26AC-B3BB-46E2-B248-E2B520BA1103}C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45505.exe] => (Block) C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45505.exe => Нет файла
FirewallRules: [{20415FCD-A49A-445D-9426-10E616C6AD90}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{938B22B5-2A77-46C9-BDDB-A8B25ECFF9B5}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{0984A81F-D281-4738-B080-574049C7CCCC}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{A3124054-79BC-4068-A650-36970AEB722A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{CA6A4130-361D-45FB-8A85-3CF3074D83EE}] => (Allow) LPort=9393
FirewallRules: [{5E2582C8-64B6-4C9E-B0FA-1285313CA03C}] => (Allow) LPort=9494
FirewallRules: [{22291A20-A09A-4B2E-83C8-E536795BB484}] => (Allow) LPort=9494
FirewallRules: [{BD9184DB-A86F-43EB-86EB-E75C729C5686}] => (Allow) LPort=9393
FirewallRules: [TCP Query User{8EB15230-B380-4B0F-BF74-B0D448621D00}C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45776.exe] => (Allow) C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45776.exe => Нет файла
FirewallRules: [UDP Query User{ABFE8615-6EDE-4C07-8BBA-178F2D1E7D81}C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45776.exe] => (Allow) C:\users\mi\appdata\roaming\utorrent\updates\3.5.5_45776.exe => Нет файла
Unlock: C:\Program Files\ESET
SetDefaultFilePermissions: C:\Program Files\ESET
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте новый лог Farbar Recovery Scan Tool.

**LiveviL** · 09.03.2022, 22:02

Сделал, прикрепляю Fixlog и новый лог Farbar Recovery Scan Tool

**Vvvyg** · 10.03.2022, 07:31

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Проблема решена, как я понимаю.

Помогите! Вирус taskhostw.exe, прикидывается RealtekHD (заявка № 227703)

Опции темы