Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Вирус taskhostw.exe Realtek HD Audio (http://forum.oszone.net/showthread.php?t=344418)

Epicfiredragon 15-03-2020 02:09 2913198
Вирус taskhostw.exe Realtek HD Audio
 
Вложений: 1
Добрый вечер, подхватил майнер taskhostw.exe Realtek HD Audio. Диспетчер задач закрывается. Стоит eset nod32 internet security, периодически говорит что taskhostw.exe Realtek HD Audio очищен, но он продолжает находиться в оперативной памяти.
Создать лог AVZ не возможно
Лог HiJackThis прикреплён

SQx 16-03-2020 04:05 2913348
Здравствуйте,


HiJackThis профиксить
Код:
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe
O4-32 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task: \Microsoft\Windows\Wininet\SystemC - C:\Programdata\RealtekHD\taskhostw.exe
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

Sandor 16-03-2020 09:51 2913366
Цитата:
Цитата Epicfiredragon
Создать лог AVZ не возможно »
Автологер тоже не запускается?

Epicfiredragon 16-03-2020 19:27 2913434
Вложений: 1
После фикса HiJackThis получилось собрать лог, но taskhostw.exe остался в оперативной памяти
Upd: taskhostw.exe удалось вручную удалить, на моём устройстве что-либо осталось?

Sandor 16-03-2020 21:29 2913454
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\realtekhd\taskhostw.exe');
 QuarantineFile('c:\programdata\realtekhd\taskhostw.exe', '');
 DeleteFile('c:\programdata\realtekhd\taskhostw.exe', '');
 DeleteFile('c:\programdata\realtekhd\taskhostw.exe', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Epicfiredragon 16-03-2020 21:34 2913455
Цитата:
Цитата Sandor
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\programdata\realtekhd\taskhostw.exe');
QuarantineFile('c:\programdata\realtekhd\taskhostw.exe', '');
DeleteFile('c:\programdata\realtekhd\taskhostw.exe', '');
DeleteFile('c:\programdata\realtekhd\taskhostw.exe', '64');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. »
Мне удалось вручную удалить taskhostw.exe из указанной папки

Sandor 16-03-2020 21:41 2913458
Я ваше сообщение читал. Но в логах он ещё виден. Выполните указанное в любом случае, хуже не будет.

Epicfiredragon 16-03-2020 21:59 2913460
Вложений: 1
Карантин пустой, лог прилагаю

Sandor 16-03-2020 22:33 2913463
Да, теперь и в логах чисто.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Epicfiredragon 16-03-2020 22:39 2913465
Вложений: 1
Прикрепил

Sandor 17-03-2020 09:05 2913503
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45449 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.


Читайте Рекомендации после лечения.


Время: 01:42.

Время: 01:42.
© OSzone.net 2001-