Добрый вечер, подхватил майнер taskhostw.exe Realtek HD Audio. Диспетчер задач закрывается. Стоит eset nod32 internet security, периодически говорит что taskhostw.exe Realtek HD Audio очищен, но он продолжает находиться в оперативной памяти.
Создать лог AVZ не возможно
Лог HiJackThis прикреплён

Здравствуйте,


HiJackThis профиксить (http://www.cyberforum.ru/viruses-faq/thread89293.html)

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe
O4-32 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task: \Microsoft\Windows\Wininet\SystemC - C:\Programdata\RealtekHD\taskhostw.exe


Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)

Создать лог AVZ не возможно »
Автологер тоже не запускается?

После фикса HiJackThis получилось собрать лог, но taskhostw.exe остался в оперативной памяти
Upd: taskhostw.exe удалось вручную удалить, на моём устройстве что-либо осталось?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\programdata\realtekhd\taskhostw.exe');
QuarantineFile('c:\programdata\realtekhd\taskhostw.exe', '');
DeleteFile('c:\programdata\realtekhd\taskhostw.exe', '');
DeleteFile('c:\programdata\realtekhd\taskhostw.exe', '64');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина (http://dragokas.com/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\programdata\realtekhd\taskhostw.exe');
QuarantineFile('c:\programdata\realtekhd\taskhostw.exe', '');
DeleteFile('c:\programdata\realtekhd\taskhostw.exe', '');
DeleteFile('c:\programdata\realtekhd\taskhostw.exe', '64');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. »
Мне удалось вручную удалить taskhostw.exe из указанной папки

Я ваше сообщение читал. Но в логах он ещё виден. Выполните указанное в любом случае, хуже не будет.

Карантин пустой, лог прилагаю

Да, теперь и в логах чисто.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/download), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Прикрепил

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления (https://www.rarlab.com/download.htm)
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45449 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC (http://get.adobe.com/ru/reader/otherversions/).


Читайте Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)