[РЕШЕНО] MicrosoftHost.exe майнер
Подскажите, пожалуйста, как удалить вирус HEUR:Trojan.Win32.Miner.gen?
При запуске KVRT или dr web Curlet, обнаруживается вирус, но после перезагрузки все возвращается обратно. Также пробовал загружать из безопасного режима, ничего не меняется.
Каким-то образом на совершенно новом компе поймала майнер. Либо при активации винды через KMS Auto, либо вероятнее при установке драйверов (Win Defender нашел Realtek HD, который маскируется под звуковую карту?).
Изначально самопроизвольно закрывалась папка Program Data, файл hosts, браузер при попытке захода на сайты антивирусов или с описаниями вирусов. Через безопасный режим установила Kaspersky Virus Removal Tool и через него удалила вирусы.
После еще прогоняла DrWeb’ом и другими утилитами, тоже что-то удалили. Попробовала поставить Аваст, но он не устанавливается, выдает «ошибку 5 отказано в доступе» и Ошибка 5 ae_unknown.
Прилагаю логи с FRST и скан с Касперского
Защитник виндовс понятное дело удалять отказывается, действие «удалить» ничего не происходит
Обнаружено: Trojan:Win64/DisguisedXMRigMiner
Состояние: Активно
Как удалить скрытый майнер
Шутки шутками, но недавно столкнулся с такой ситуацией, когда после перезагрузки мой далеко не слабый комп вдруг в простое начал шуметь, температура процессора сразу поднялась до 70 градусов, как при игре. Открываю диспетчер задач, нагрузка резко падает, и всё становится как обычно. После закрытия диспетчера задач вдруг опять вентиляторы начинают шуметь, процесс начинает греться, открываю диспетчер задач, история повторяется. Если открыть Диспетчер задач и быстро отсортировать по нагрузке на процессор, то становится видно, что систему грузит программа MicrosoftHost.exe, которая находится в папке C:\ProgramData\WindowsTask\. Сразу первым делом пытаюсь зайти на сайт Dr.Web, чтобы скачать CureIt, но при переходе на сайт, меня вдруг перекидывает на страницу 8.8.8.8 вроде, или что-то такое было. Ну после этого я сразу понял, что подцепил какой-то вирус, если погуглить по названию процесса, то пишут, что это скрытый майнер, что объясняет почему там грузит систему одна программа. Притом, если скачать CureIt с телефона и запустить на компе, то CureIt находит вирус и удаляет, как будто бы. Но после перезагрузки всё остаётся также.
Решил написать, как почистить данный вирус, если знать что делать, то времени занимает немного, но поначалу я часа полтора сидел, пока всё почистил. Но некоторые моменты сделаны довольно хитро, если не очень хорошо ориентируешься в компах, то фиг почистишь этот вирус.
В общем для того, чтобы эту бяку полностью вычистить надо проделать следующие шаги.
Сразу говорю, я точно уже не помню, как назывались процессы и т.д., и это действия только для того типа скрытого майнера, который я поймал, у других могут отличаться. Но думаю сама последовательность действий может помочь.
1. Первым делом включаем отображение системных файлов, потому что папки с вирусом созданы как системные. И включаем отображение скрытых файлов. После всех действий можно обратно выключить. Нужно сделать как на скрине.
2. После этого открываем файл hosts, который находится в папке C:\Windows\System32\drivers\etc\. Там будет видно много строк наподобие такой
Не помню точно, на какой адрес было перенаправление, но в файле будет куча подобных строк, с адресами всех популярных антивирусов. Удаляем все эти строки, и сохраняем файл hosts. Редактировать надо в режиме администратора, иначе прав не хватит.
3. Теперь надо найти все процессы вируса. Было несколько папок с вирусом, которые лежали в папке C:\ProgramData\. Чтобы наверняка их найти, открываем Диспетчер задач, и включаем отображение столбца Командная строка, и ищем процессы, которые находятся в папке C:\ProgramData\. Например, помню был один вирус, который назывался Realtek HD, он был со значком динамика, т.е. маскировался под звуковые драйвера, но запущен он был не из папки C:\Windows\System32\, а из папки C:\ProgramData\.
Если нашли такой процесс, нажимаем правой кнопкой на процесс, далее Свойства, и открываем вкладку Цифровые подписи, у нормальных драйверов и процесс будут подписи, у вируса их не будет.
Находим все такие процесс, которые лежат в папках внутри C:\ProgramData\ и останавливаем их, иначе не получится удалить папку, пока программа внутри неё запущена.
4. Далее заходим в папку C:\ProgramData\. Там видим кучу системных папок, среди которых будут папки с именами известных антивирусов (думаю из-за этого CureIt и не мог ничего сделать, потому что не было прав на папку), и папки, в которых лежат процессы, которые мы остановили. Сделать с этими папками мы ничего не можем, т.к. при попытке открыть или что-то сделать, нам пишет, что нет прав, даже если у нас права администратора.
С каждой папкой нам необходимо сделать следующие действия:
Нажимаем правой кнопкой -> Свойства -> Безопасность -> Дополнительно.
В открывшемся окне мы видим, что у этой папки нет владельца. Нажимаем Изменить и указываем свою учетную запись владельцем.
И обязательно ставим галочку для дочерних объектов. После этого везде нажимаем ОК, чтобы сохранить. Теперь спокойно удаляем эту папку. Это нужно сделать со всеми папками с именами антивирусов и с процессами, которые мы ранее удалили. После этого надо в зайти в папки
C:\Program Files (x86)\
И точно также изменить владельца и удалить папки с именами антивирусов и различных программ от вирусов. Мне к 20 папке надоело проделывать все эти действия, поэтому можно сделать проще, через командную строку. Можно сразу в блокноте подготовить список всех папок и выполнить
takeown /F C:\ProgramData\Avira\ /R /D Y
takeown /F C:\ProgramData\DrWeb\ /R /D Y
5. Готово. После этого можно скачать тот же CureIt и всё проверить, также можно обратно скрыть системные файлы. И ещё этот майнер добавил свои папки в исключения Защитника Windows, на всякий случай надо тоже оттуда удалить эти папки.
1. Файл хост скрыт и его не открыть. Ищем его содержание в инете, вставляем в блокнот, сохраняем с названием host, и вставляем в папку etc с заменой.
2. Майнер блокирует запуск всех ехе, и не дает запуск антивируса? Скачиваем RogueKiller. Прога написанная на основе браузера инернетэкплорер. Запускается при ЛЮБЫХ запретах, и чистит их. После чего запускаем уже антивирус.
Такие пакости всегда лучше убирать, запускаясь с флешки, никаких танцев с бубнами и прятками не будет. У большинства топовых антивирусников есть загрузочный образ для флешки со всем необходимым.
Оо, у меня был точно такой же вирус! Изобретательный до жути.
Спасибо за шпаргалку, надеюсь, никому больше не пригодится 😅
Ответ на пост «Очередной обновление Windows 10 убивает подключение к сети»
С данной проблемой не сталкивался пока, возможно, что где-то всплывёт. Но хорошо, что уже понятно, где копать в случае чего. Тем более что не далее как позавчера был инцидент: с утра никто из пользователей не мог зайти на сетевые папки на 2012 сервере.
Обновление KB5028228 грохает авторизацию в домене, если контроллер домена работает на Самбе. После его установки клиенты не могут зайти на сетевые шары — ошибка "невозможно установить доверительные отношения станции с контроллером домена".
Про Винду 10, а также более новые сервера (2019) тоже что то похожее писали на Reddit, но там другое обновление так пакостит. Кажется KB5028166. Но если "домен на Самбе" вам ни о чём не говорит, то скорее всего вас эта проблема не коснётся. Либо это проблемы вашего админа.
Ответ на пост «Ответ на пост "Очередной обновление Windows 10 убивает подключение к сети"»
Не совсем в тему, но тоже об обновлениях. Есть у меня ноут Acer ES1-711 и это далеко не новая машинка, зато с огромным дисплеем 17.3″ и офигенной клавиатурой. С ним приключилась беда — умер жёсткий диск 🙁
Не такая уж и критичная проблема, было решено поставить SSD и сразу накатить 10-ку (раньше Windows 7 стояла). Однако столкнулся с проблемой — пропал тачпад, ну ,то-есть, вообще пропал и даже в диспетчере устройств его нет. Погуглив слегка, нашел, что решение просто офигенное, а именно нужно в BIOS режим тачпада переключить из advanced в basic. Вот только у меня и опции такой не было -_-.
Ну ок, обновил BIOS и все появилось. Тач тоже завелся)
Офигеть как меня впечатлило, что устройство просто может пропасть при обновлении, а решать нужно обновлением BIOS. Может это и норма, но с таким ранее не сталкивался
Ответ на пост «Очередной обновление Windows 10 убивает подключение к сети»
Пишу, потому что годный пост адски заминусили на ровном месте.
Позавчера обновился и сеть отвалилась. Сначала искал проблему в роутере, провайдере, проводе и тд. Перезагружался 10раз, переставлял драйвера сетевой, проводил сброс сети, ничего не помогло. Решил откатом системы до последнего обновления. А только что снова винда обновилась, и снова отвалилась сеть. Вот полез посмотреть номер обновления, забил в гугол и вот выпал этот заминусованнный пост.
Возможно проблема происходит только на определённом железе, но она есть. Вылечилось всё удалением галочки Network LightWeight Filter. Даже без перезагрузки. Надеюсь рецидивов не будет. Всём добра.
Ответ на пост «Очередной обновление Windows 10 убивает подключение к сети»
Для тех у кого с обновой вывалилось сетевое подключение, решение проблемы:
В свойствах подключения найти Network LightWeight Filter и снять с него галочку. Без рейтинга, просто чтобы сэкономить людям немного времени.
Ответ LbISS в «Скачиваем плейлист с Youtube без регистрации и смс»
Простите, но эти батники изврат в наши дни, при наличии нормального графического интерфейса для yt-dlp.
Для тех, кто не хочет собирать вручную, есть автоматический инсталлятор: https://github.com/kazukikasama/youtube-dlp-gui-installer. Вся его суть в том, что он скачивает в одну папку последние версии yt-dlp, ffmpeg, aria (менеджер быстрой загрузки) и собственно интерфейса, да создаёт ярлыки и анинсталлер.
Тут легко увидеть все варианты картинки и аудио, можно скачать их отдельно, или их автоматически склеит в готовое видео.
Обновления ютуба на данный интерфейс влияют точно так же, как и на yt-dlp — то есть, если качать перестало, надо зайти на https://github.com/yt-dlp/yt-dlp/releases/latest и скачать новую версию yt-dlp.exe и заменить файл в папке программы (по-умолчанию это %localappdata%\yt-dlp-gui)
Ответ LbISS в «Скачиваем плейлист с Youtube без регистрации и смс»
Вотжешь блин придумали чесать левое ухо правой рукой через голову.
А чем не угодила приложуха: Open-Video-Downloader ?
Не, я понимаю, староверы, батники и все такое, но гуевой программой же удобнее.
Я ей уже давно пользуюсь, сколько курсов с ютубчика было скачено.
Ответ на пост «Скачиваем плейлист с Youtube без регистрации и смс»
О, сам как раз полгодика назад разбирался с этим. Прошлая софтина сдохла, надо было искать новое решение.
Для автоматизации я накидал пару батников, который упрощают работу с YT-DLP для меня с типовой настройкой. Вот как выглядит моя папка:
yt-dlp-run.bat — скачивание одной ссылки. Вставляете ссылку, нажимаете enter — профит.
yt-dlp-run_mult.bat — скачивание нескольких ссылок подряд. Вставляете ссылку, enter, качается, дальше просит следующую ссылку, так бесконечно, пока не закроете окно.
yt-dlp-run_file.bat — скачивание ссылок из файла yt-dlp_links.txt. Вставляете в файл все нужные ссылки (одна ссылка — одна строка), запускаете — выкачивает все файлы. Для составления списка обычно я использую хром, открываю все нужные видео, дальше использую расширение «Copy All Urls» — оно копирует как раз в таком формате все открытые вкладки ( https://chrome.google.com/webstore/detail/copy-all-urls/djdm. )
Все батники качают видео в лучшем доступном разрешении.
Всё качается в папку /Download в той же директории.
Все батники берут куки из хрома. То бишь скачаны видео будут под тем аккаунтом, под которым вы сейчас залогинены в хроме. Последние 2 недели в chrome есть проблемы с этим, возможно будет работать только при закрытом хроме или надо будет проставить флаг: ( https://github.com/yt-dlp/yt-dlp/issues/7271 )
Наличии ffmpeg.exe обязательно, можете просто скачать файл с офф. сайта и положить в директорию.
Инструкция только под винду. Те, у кого линукс, сами знают, что делать.
Контент всех батников можно проверить — открыв блокнотом, если опасаетесь, что я что-то там понаписал.
Файлик yt-dlp-run_ws.bat не прикладываю, т.к. это более сложная конфигарция — я рисую кнопки прям на странице ютуба и прокидываю на локальный сервак, а он дёргает этот файл. Нужно куча ещё всего, что для обычного пользователя поднимать непросто.
Ну и как обычно принято у программистов в опенсорсе — «файлы поставляются as is, используются вами на свой страх и риск и автор не несёт ответственности за любые последствия использования этих файлов.» 🙂
P.S.: Для тех, для кого «эти ваши консоли» — лес дремучий, рекомендую попробовать Jdownloader 2. Опенсорсная тулза для скачивание всего откуда угодно, с ютуба тоже.
Компьютерный мастер. Часть 270. Как изощрённо вирус с антивирусами боролся. примитивно, но эффективно.
Вчера был интересный случай, у клиента были жалобы на годовалый ноут на Ryzen-5 5300U, что он шумит громко и постоянно включается кулер даже с закрытой крышкой и меня вызвали заменить термопасту и почистить. но всё оказалось гораздо интереснее:
Я сразу заметил что windows 10 без антивируса и решил установить китайца Total 360, и первое с чем столкнулся, что не могу зайти на его сайт, ну думаю хз санкции давай через VPN попробую, через vpn скачал. но тут сюрприз антивирус просто не запускается, скачал касперского также через vpn и та же история. Скачать drweb cureit не возможно, через пару секунд после начала его загрузки любой браузер закрывался автоматически.
Я начал искать системные ошибки и неожиданно понял что сайт remontka.pro тоже не открывается. и тут я допер, что у нас в компе кто-то живет, причем очень хитрый майнер. при работе неожиданно начинают крутиться кулеры, но при попытке в диспетчере задач увидеть кто грузит систему там никого нет и вентилятор сразу успокаивается. т.е. вирус отслеживает наши действия в режиме онлайн.
Прикол как именно он запретил запуск установщиков антивирусов, он прописал запрет в реестре на запуск конкретных файлов:
А в файле HOSTS запрещенными оказалось более сотни сайтов, помогающие выявить вирус.
Причем даже после удаления ключей в реестре и файла хост, антивирусы начали скачиваться и запускаться, но отказывались устанавливаться, выдавая разнообразные ошибки. оказывается вирус применил ещё один хитрый трюк, он создал в C:\Program Files стандартные папки установки для всех антивирусов, сделал их только для чтения и скрыл пометив как системные. вот грязный извращенец)))
загрузка в безопасном режиме, чистка руками папок в C:\Program Files, подключение телефона в качестве usb модема и через него закачка CUREIT, антивирусная проверка, затем загрузка в обычном режиме еще один прогон CUREIT удаление вируса:
установка полноценного 360 Total Security, всем рекомендую кстати работает быстро ловит все известные вирусы не хуже касперского. Конечно передаёт все ваши данные товарищу СИ, но присмотр большого брата никому ещё не мешал)))
По итогам клиент доволен, ноут работает бесшумно, не греется и не просыпается с закрытой крышкой.
Rutracker и модераторы в доле с майнерами
На известном нам сайте с недавних пор пошли непонятные движения, и некоторые раздачи модераторы Намеренно игнорируют, несмотря на очевидные факты
Например раздача на программу Malwarebytes repack by Emir Cardan
169 / 8 на момент написания поста
После установки программы начинаются заметные тормоза системы и кулер набирает обороты улетая в космос.
Хорошо, сносим программу через панель управления, но эффекта ноль.
В диспетчере задач появляется несколько интересных процессов taskhos, taskhostw которые ведут в подпапку RealtekAudio, с которой нельзя просто так взаимодействовать через консоль cmd или в проводнике, она скрыта не обычным способом Windows, и просто так с ней ничего не сделать
Так вот , загрузка цп 100% в простое
При заходе в диспетчер стремительно падает, и при попытке открыть расположение вредных процессов закрывается диспетчер задач и окно папки появляется на долю секунды
При попытке установить антивирусники или спец софт для удаления подобной поеботы Майнер создаёт нам проблемы — закрытия, ошибки и т.д
Всплывают также разные процессы интересные связанные с вирус и один фейк svchost
Система дымит и лагает но
Модераторы сайта глубоко наплевать на вас, они видимо в доле или по братской любви разрешают таким раздачам висеть
Решается быстрой заморозкой всех связанных процессов в process hacker и успеть за 5 секунд открыть расположение фейкового taskhost процесса который откроет ProgramData/RealtekAudio
Windows покажет нам что тут пусто, это не так. Выделенные в process hacker процессы убиваем и сразу несём папку в корзину из «пути» и очищаем ее
После запускаем восстановление системы методами Windows или методом с cyberforum где есть много сообщений о подобном вирус
Эволюция как она есть
Порой так интересно наблюдать за эволюцией компьютерных вирусов. Вот так подхватишь какую-то дрянь, начинаешь разбираться и так увлекаешься этим делом, прямо чувствуешь себя Дроздовым. И ведь каждый раз найдешь что-то новенькое, уловки любой ценой защититься от всяких там юзверей.
Немного пояснения: в виду своей деятельности и лени пришлось раскурочать свою винду в решето. Понятно, что никаких антивирусов она и не видела никогда, да и тот же win defender отправлен в вечный сон реестром и гпо, открытая удаленка и вседоверяющий файервол. Никакой адекватной защиты в трёх словах.
Но и соответственно отлов вирусов, в частности майнеров, для меня не в новинку.
История: как-то заметил, что система стала виснуть на ровном месте. Лезем в диспетчер задач загрузка 100% и через секунду 10%. Классика.
Ну, думаю, приключение на 20 минут.
Лезу качать DrWeb cureit. Открываю сайт, браузер крашится. Ага. Знаем, проходили.
Лезем качать ProcessLasso. Любимый softportal, и тут нате переадресация на домен гугла.
Это дело тоже не в новинку: лезем искать файл hosts, и вот тут пошли интересности. А файла-то нету. Тут я списал на свою глупость, что вдруг где-то не там искал, все-равно к тому моменту cureit уже была скачана на ноут и перекинута на шару.
Ставим сканить систему, а параллельно находим ProcessLasso на другом сайте и начинаем выискивать процессы, которые как-то неадекватно кушают ресурсы. Таких оказалось несколько taskhost, который в диспетчере именовался COM Surrogate, audiodg и ещё парочка, которые позже cureit пачкой и почистил.
Что в этом оказалось интересного. При попытке открыть расположение файла происходил краш проводника и диспетчера задач, но во время фриза системы удалось углядеть путь до файла: C:/program data/realtek hd
Лезем туда напрямую, и. папки нет(видимость всех скрытых файлов папок включена). Не отчаиваемся, открываем консоль и пробуем искать оттуда. Все прекрасно видит, и даже позволяет залезть и полистать файлики.
По итогу cureit все почистил. И тут я вспомнил про hosts, полез туда же консолькой и о чудо, файлик-то на месте, открываем, удаляем тонну строк переадресации на 8.8.8.8, сохраняем, заменяем, радуемся жизни.
Позже узнал, что данный вирь сидит в новых репаках от "xatab'a". Что за люди. Ничего святого в них нет.
На этом я думал, что все и порешилось, пока на моих же глазах в систему удаленно не вошёл некий John — скрытая, как позже выяснилось, учетка с правами администратора. Но об этом уже в следующий раз, если кому-то будет это интересно.
Ответ на пост «Как удалить скрытый майнер»
1. Файл хост скрыт и его не открыть. Ищем его содержание в инете, вставляем в блокнот, сохраняем с названием host, и вставляем в папку etc с заменой.
2. Майнер блокирует запуск всех ехе, и не дает запуск антивируса? Скачиваем RogueKiller. Прога написанная на основе браузера инернетэкплорер. Запускается при ЛЮБЫХ запретах, и чистит их. После чего запускаем уже антивирус.
Никогда не было и вдруг опять!
— Вы компьютеры ремонтируете?
— У нас такая проблема: скачали обновление для программы «Очень нужная программа для бухгалтерии», а при установке антивирус ругался, мы два раза пробовали, потом антивирус отключили, программа обновилась, комп перезагрузился и теперь не включается. Вы поможете?
Как избавиться от вируса-майнера?
Проблема заключается в том, что где-то раз в плюс-минус 5 минут комп чуток подвисает — идёт 100% загрузка проца и, скорее всего, видюхи, судя по работе её кулера. Ну, и естественно, что эти тормоза не приносят ничего приятного в пользование компом.
Непосредственно перед этим скачком автоматически закрывается диспетчер задач, если он был до этого открыт.
Я пробовал гуглить проблему и вышел на киберфорум, где нашёлся топик со схожими симптомами. Там говорят, что это майнер и советуют скачать AVZ и в нём выполнить некий скрипт. Далее проблема стала за тем, что я просто не смог запустить AVZ, так как после открытия программы она тут же автоматически закрывается. В итоге я запустил её и выполнил скрипт из безопасного режима, однако это вообще ничего не дало.
Тогда я попробовал зарегиться на форуме и создать тему уже непосредственно по своему случаю, но сразу после авторизации браузеры стали автоматически закрываться 🙁
Также пробовал использовать ESET и Avast, но с ними та же беда, что с AVZ: я просто не могу их установить — они закрываются.
Винду переустанавливал месяц назад — это тоже не помогло. Встроенные в винду брандмауэр и защитник у меня если что включены, настройки параметров выдачи уведомлений о вносимых в ОС изменениях тоже включены и ничего не показывают. Кстати, что характерно, загрузка проца и подвисания не такие жёсткие, когда отсутствует доступ к инету.
В общем, я не знаю, что делать и надеюсь, что мне тут подскажут решение этой проблемы.
Кажись, нашёл гадёныша:
В папке C — ProgramData — RealtekHD находится файл taskhostw, который запускает периодически процесс taskhost с описанием COM surrogate!
При попытке зайти в папку место хранения файла папка тут же закрывается.
Гугл выдаёт, что это таки майнер (ситуация вообще 1 в 1 как у меня)
Как я чинил компьютер
Небольшой офис, чуток компов. Один из них начинает неадекватно себя вести. Нет прав на эксплорер, нет прав на диспетчер задач, глюки в ворде, тормозит, работать невозможно. Хозяйка компа говорит, что началось всё после тыкания в него флешкой. Ну, ок, вирус, думаю. Просканировал поверхность диска на всякий, качнул в сторонке лив сиди от каспера и запустил скан.
Тут приходит вторая мадам и говорит, что ей край нужно чота отправить в госорганы при помощи ЭЦП, которая на той самой флешке. Предупреждаю, что на ней, скорее всего, вирус, и тыкать ею в комп (ноут) нельзя. Но она говорит ,что сёдня — это крайний день для этого. Ну, ок, я предупредил..
Пока я гляжу на результаты сканирования, приходит эта вторая мадам и говорит могильным голосом, что у неё всё то же самое. Я про себя удовлетворённо подумал, что это хорошо, это, значит, точно вирус, а ей сказал встать в очередь. Между тем я понимаю, что сканирование затягивается и предлагаю разойтись. Все кто куда, а я домой с её ноутом подмышкой.
Дома я начинаю вникать в происходящее. Первым делом пытаюсь запустить сканирование ноута. Не выходит ничо. Каспер лив сиди пишет, что диск смонтирован только для чтения, и лечение будет невозможно, а дрвеб лив сиди при загрузке просит ввести логин и пасс при старте дебиана (на нём его лив сиди основан). Что за логин — неизвестно. Неудача.
Начинаю уже понемногу психовать. Думаю, выну диск, подрублю к своему компу и просканирую. Открываю крышку ноута — диска нет. Понимаю, что диск ССД М2. Нужно разбирать дальше. Разобрал дальше, воткнул таки себе, прогнал вебом, каспером. Нету вирусов.
Продолжаю психовать и начинаю нервничать.
Собрал всё взад, включаю. Всё по-прежнему. Обратил внимание, что в винде нет пункта «выключение», есть только «выход». Нажал. Логично появилось окно для авторизации и с полем для ввода пароля. Понимаю, что пароля не знаю. Выяснил, что его не было вовсе. Понимаю, что не понимаю, что делать.
Сварганил флешку с утилиткой Dism, прибиваю пасс, перезагружаюсь..
Нашёл в инете, как убрать пасс при помощи реестра и дистриба виндовс. Проделываю это вот всё, но на этапе net user мне cmd сообщает, что запрос отклонён, нет прав доступа.
Ладно. Стартую снова c dism, активирую задизабленную учётку Администратор. Перезагружаюсь. Выбираю Админа. Хоба! Просит ввести пароль.
Какой в ж0пу пароль? Ладно. Убираю пароль у админа. Перезагружаюсь. Снова не помогло. Пароль при загрузке чудом возвращается.
Понимаю, что это уже вызов, ибо подобного не встречал. Всякое было, от cabanas и до шифровальщиков, но тогда хотя бы знал, кто передо мной. Тут же гранды антивирусописательства говорят, что вируса-то нет. Но, тем не менее, кто-то при загрузке что-то делает..
Тут звонит владелица ноута и просит его вернуть. Хочет отдать его другому челу, а меня умоляет заняться тем, первым компом, ибо в пнд он позарез будет нужен. Он основной, там 1С и прочая требуха. Ну, ок. Отвёз ноут, стал долбиться с компом. Напомню, поведение у них идентичное.
Ради статистики решил загрузиться в безопасном режиме. Внезапно, но комп загрузился. Хм. Стал тупо перебирать всё, что запускается при старте. Стал отключать всякие обновления адобе, драйверы принтеров, службы, названия которых я не знаю ) Внезапно натыкаюсь, что служба сбора статистики (дословно не помню) Аваст отключаться не хочет. Пишет, что отказано в доступе. Немного поколебавшись, сношу Аваст. Перезагружаюсь. Вытаращив глаза, понимаю, что всё работает. Звоню товарищу, которому отдали ноут, прошу снести Аваст. И у него тоже всё заработало.
Вишенка на торте: Аваст у них был Про. Платный.
Итого угробил я на это всё полторы суток практически.
Как подозреваю, флешка была ни при чём, просто авасты обновились одновременно. А флешка — совпадение.
Потом я её пихал куда ни попадя и проверял всем подряд — никаких последствий.
Что это было со стороны Аваста — так и не понял. Но был немножечко в ..недоумении.
Microsofthost exe как удалить майнер
Смотрел на форумах но там все сложно непонятно, может кто-то подробно объяснит как его удалить?
Запоминайте друзья, сам только что поборол эту херь.
Открываем мой компухтер и вставляем путь на майнер: C:\ProgramData\WindowsTask\MicrosoftHost.exe -o stratum+tcp://loders.xyz:3333 -u RandomX_CPU —donate-level=1 -k -t2
Внося небольшие коррективы, и жмём «Enter»
Всё майнер сломан!
Так как это не вирус, а скрипт в винде Антивирусы бесполезны
Надеюсь помог, всем добра!
Сегодня тоже столкнулся с подобной ерундой.
Признаки ее наличия.
1) При отключенных приложениях ноут начинает перегреваться.
2) Открыв диспетчер задач, видим резкий скачек активности до 100% и тут же падение до нормального состояния, это связано с тем, что при открытии диспетчера задач эта прога останавливает свою деятельность и скрывается из диспетчера задач.
3) Диспетчер задач автоматически закрывается в течении пары минут и майнер продолжает работать.
4) Аналогично диспетчеру автоматом вырубается отображение скрытых и системных файлов.
5) Если скачать прогу ProxyFier и подключившись к любому VPN в списке у меня как раз появлялась прога которая стучалась на подозрительный сайт.
6) В Host файле заблокированы все ресурсы которые могут помочь решить проблему.
Судя по коментам выше мне попался более извращенный вариант майнера. Просто удалить или сломать файл не получалось, он каждый раз пересоздавался какой то другой прогой.
Действия необходимые для устранения конкретно моей версии:
1) Скачиваем ProxiFier или любой другой прокси менеджер который покажет какие программы пытаются отправлять данные.
2) Открываем файл C:\Windows\System32\drivers\etc\hosts и удаляем все заблокированные ресурсы такого вида:
127.0.0.1 support.kaspersky.ru
127.0.0.1 kaspersky.ru
.
и. т. д.
Майнер заблочил порядка 150 сайтов антивирусов и прочих.
3) Открываем Планировщик задач, (Ищем его в поиске windows)
В левой колонке открываем папку Библиотека планировщика заданий->Microsoft->Windows
В моем случае понадобилось отключить все задачи в папке Wininet
4) В папке C:\ProgramData\WindowsTask нужно заменить все файлы на текстовые документы с точно таким же названием и расширение, а так же добавить им свойство (Только чтение) и желательно удались все права доступа к этим файлам
5) Аналогичные действия проделать с файлам в папке C:\ProgramData\RealtekHD
Как раз после этого перестал закрываться диспетчер задач и скрываться системные файлы.
На этом все, перезагружаем комп и смотри на результат.
Примечание:
Если после включения показа системных и скрытых файлов они не отобразились, попробуйте сделать это снова, предварительно закрыв окно настроек.
скачал по своей ошибке файл с этим дерьмом
небыло не единого опасения и нате
Нашел решение сам
понадобится консоль
cd дальше путь, в моем случае был C:\ProgramData\WindowsTask\
но уверен создатель не заморачивался и сделал единый путь
после чего выдаем атрибуты принудительно в консоле — » attrib -s -h -r -a /s /d «
после у нас есть 1-3 секунд чтоб переключится на C:\ProgramData\WindowsTask\ тоесть директорию с майнером и там мы увидим уже те самые файлы
удаляем все, те что не удаляются оставляем, в моем случае было 2
повторяем это несколько раз пока не выйдет удалить 1 из этих 2х
дальше я так понимаю майнер бонально не может найти недостоющие файлы и крашится, воля
не знаю пока еще запускается ли он повторно при перезагрузке или же докачивает мейби недостоющие ( наврядли так будет продуманно )
но в любом случае мне это помогло
по крайней мере он перестал майнить но диспетчер задач все еще закрывается сам.
как решу допишу комментарий
использовал «LockHunter» он на офф. сайте бесплатно скачивается
С помощью ее указывая путь до того самого файла можно его удалить
C:\ProgramData\RealtekHD — еще одна директория где остались файлы майнера
через »LockHunter’ находим 2 процесса что расположены там и смело удаляем
Microsofthost exe как удалить майнер
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
——- 
Microsofthost exe как удалить майнер
Адель Шиловский 
Андрей Болдырев 
Адель Шиловский
Андрей Болдырев ответил Аделю
Адель Шиловский
Адель Шиловский ответил Александру
Даня Паринов 
ответил Аделю
Адель Шиловский ответил Дане
Даня Паринов ответил Аделю
Илья Кобенко 
Microsofthost exe как удалить майнер
Как проверить компьютер на скрытый майнер и удалить его с ОС Windows 10
Вирусы, которыми заражается компьютер, выполняют разные задачи. Одни воруют личные данные пользователя, а другие – используют его ресурсы. Ко второй категории относятся майнеры, зарабатывающие криптовалюту за счет использования ресурсов ПК. Очевидно, что каждый владелец устройства должен знать, как удалить майнер с компьютера на операционной системе Windows 10, поскольку он таит в себе немало опасностей.
В чем опасность скрытого майнера?
Майнер выполняет роль добытчика криптовалюты для хакера. Добыча крипты – тема отдельного разговора, способного растянуться на несколько страниц, поэтому сейчас важно сосредоточиться на опасности, которую таит в себе вирус.
Майнер заставляет компьютер работать на пределе. Даже при выполнении базовых задач вроде веб-серфинга или просмотра фильма, загруженного на устройство, процессор, видеокарта и другие компоненты работают на максимальных оборотах. Вследствие этого происходит быстрый износ оборудования, а само взаимодействие с ПК вызывает у пользователя негативные эмоции из-за постоянных лагов и тормозов.
Как узнать о наличии майнера?
Подозрение о том, что кто-то использует компьютер для майнинга, возникает довольно часто. Но по косвенным признакам, вроде медлительности устройства, нельзя проверить, установлен ли на ПК скрытый майнер.
Сделать это можно только программными средствами, обратившись к инструкции:
- Запустите «Диспетчер задач» («Ctrl» + «Shift» + «Esc»).
- Откройте вкладку «Процессы».
- Закрыв остальные приложения, проверьте нагрузку на ЦП, память и другие компоненты в течение 10-15 минут. Если будет задействовано много ресурсов, то есть смысл задуматься о наличии майнера.
- Также необходимо проверить софт, отображаемый во вкладке «Процессы». Любая подозрительная программа может быть добытчиком криптовалюты.
Совет. Не стоит видеть в каждой неизвестной программе скрытого майнера. Многие из них выполняют системообразующие задачи ПК, а их отключение способно привести к сбоям в работе.
Также подозрительные приложения стоит отсортировать по проценту загрузки. Так вы сможете понять, используют ли некоторые из них подавляющее большинство ресурсов. К сожалению, даже в таком случае речь идет о косвенном признаке наличия майнера. Понять на 100 %, добывает ли кто-то криптовалюту через ваш компьютер, не позволит даже продвинутый антивирус. Поэтому важно получить дополнительную информацию о вредоносном ПО.
Виды вирусов
Майнеры условно делятся на несколько категорий. По степени открытости их можно разделить на:
- открытые;
- скрытые.
Первые работают открыто, и таких вредителей удается обнаружить через «Диспетчер задач» и другие системные средства. Однако существуют и скрытые майнеры, которые не только не отображаются в списке запущенных процессов, но и прекращают свою работу, когда человек запускает ресурсоемкое приложение или игру. Из-за этого у него создается впечатление, будто компьютер работает в нормальном режиме.
Также приложения для майнинга отличаются по типу задействованного оборудования. Чаще всего криптовалюта добывается через ресурсы видеокарты, но иногда используются внутренние накопители и центральные процессоры. Разумеется, есть и комбинированный вариант, способный задействовать сразу все компоненты ПК.
Как его удалить?
Разобравшись с терминологией, мы плавно подобрались к процессу удаления вредоносного ПО. Выполняется ликвидация майнеров несколькими способами. Рекомендуется рассмотреть все варианты, так как не исключено, что к положительным изменениям приведет только один из них.
«Диспетчер задач»
«Диспетчер задач» можно использовать не только в качестве средства проверки, но и в качестве инструмента для удаления майнера. Действуйте по инструкции:
- Запустите «Диспетчер задач».
- Перейдите во вкладку «Подробности».
- Найдите майнер и файл, который его запускает.
- Откройте редактор реестра, обработав запрос «regedit» в окне «Выполнить» («Win» + «R»).
- Зажмите клавиши «Ctrl» + «F» и введите в поисковую строку название файла.
- Щелкните по нему ПКМ и нажмите на кнопку «Удалить».
Аналогичным образом следует поступить со всеми остальными совпадениями. В противном случае добытчик криптовалюты продолжит работу.
С помощью программы AnVir Task Manager
Этот инструмент является расширенным «Диспетчером задач», но принцип действия будет схож. Через AnVir Task Manager необходимо идентифицировать вредителя и найти корневую папку, где он располагается. Далее нужно произвести удаление средствами редактора реестра.
Другие способы
В качестве альтернативного варианта стоит рассмотреть глубокую проверку компьютера антивирусным ПО, будь то сторонний Avast или встроенный Windows Defender. Но самым действенным вариантом станет откат системы. Правда, в таком случае вы потеряете все сохраненные ранее файлы.
Удаление MicrosoftShellHost.exe CPU Miner Trojan: Удалите MicrosoftShellHost.exe CPU Miner Trojan Навсегда
MicrosoftShellHost.exe CPU Miner Trojan копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (randomname).exe. Потом он создаёт ключ автозагрузки в реестре с именем MicrosoftShellHost.exe CPU Miner Trojan и значением (randomname).exe. Вы также можете найти его в списке процессов с именем (randomname).exe или MicrosoftShellHost.exe CPU Miner Trojan.
Если у вас есть дополнительные вопросы касательно MicrosoftShellHost.exe CPU Miner Trojan, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.
Скачать утилиту для удаления
Скачайте эту программу и удалите MicrosoftShellHost.exe CPU Miner Trojan and (randomname).exe (закачка начнется автоматически):
* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить MicrosoftShellHost.exe CPU Miner Trojan в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.
Функции
Удаляет все файлы, созданные MicrosoftShellHost.exe CPU Miner Trojan.
Удаляет все записи реестра, созданные MicrosoftShellHost.exe CPU Miner Trojan.
Программа способна защищать файлы и настройки от вредоносного кода.
Программа может исправить проблемы с браузером и защищает настройки браузера.
Удаление гарантированно — если не справился SpyHunter предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 входит в комплект поставки.
Скачайте утилиту для удаления MicrosoftShellHost.exe CPU Miner Trojan от российской компании Security Stronghold
Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления MicrosoftShellHost.exe CPU Miner Trojan.. Утилита для удаления MicrosoftShellHost.exe CPU Miner Trojan найдет и полностью удалит MicrosoftShellHost.exe CPU Miner Trojan и все проблемы связанные с вирусом MicrosoftShellHost.exe CPU Miner Trojan. Быстрая, легкая в использовании утилита для удаления MicrosoftShellHost.exe CPU Miner Trojan защитит ваш компьютер от угрозы MicrosoftShellHost.exe CPU Miner Trojan которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления MicrosoftShellHost.exe CPU Miner Trojan сканирует ваши жесткие диски и реестр и удаляет любое проявление MicrosoftShellHost.exe CPU Miner Trojan. Обычное антивирусное ПО бессильно против вредоносных таких программ, как MicrosoftShellHost.exe CPU Miner Trojan. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с MicrosoftShellHost.exe CPU Miner Trojan и (randomname).exe (закачка начнется автоматически):
Функции
Удаляет все файлы, созданные MicrosoftShellHost.exe CPU Miner Trojan.
Удаляет все записи реестра, созданные MicrosoftShellHost.exe CPU Miner Trojan.
Программа может исправить проблемы с браузером.
Иммунизирует систему.
Удаление гарантированно — если Утилита не справилась предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.
Наша служба поддержки готова решить вашу проблему с MicrosoftShellHost.exe CPU Miner Trojan и удалить MicrosoftShellHost.exe CPU Miner Trojan прямо сейчас!
Оставьте подробное описание вашей проблемы с MicrosoftShellHost.exe CPU Miner Trojan в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с MicrosoftShellHost.exe CPU Miner Trojan. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления MicrosoftShellHost.exe CPU Miner Trojan.
Как удалить MicrosoftShellHost.exe CPU Miner Trojan вручную
Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с MicrosoftShellHost.exe CPU Miner Trojan, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены MicrosoftShellHost.exe CPU Miner Trojan.
Чтобы избавиться от MicrosoftShellHost.exe CPU Miner Trojan, вам необходимо:
1. Завершить следующие процессы и удалить соответствующие файлы:
Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления MicrosoftShellHost.exe CPU Miner Trojan для безопасного решения проблемы.
2. Удалите следующие папки:
3. Удалите следующие ключи и\или значения ключей реестра:
Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления MicrosoftShellHost.exe CPU Miner Trojan для безопасного решения проблемы.
Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:
4. Сбросить настройки браузеров
MicrosoftShellHost.exe CPU Miner Trojan иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию «Сбросить настройки браузеров» в «Инструментах» в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие MicrosoftShellHost.exe CPU Miner Trojan. Для сброса настроек браузеров вручную используйте данную инструкцию:
Для Internet Explorer
Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: «inetcpl.cpl».
Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: «inetcpl.cpl».
Выберите вкладку Дополнительно
Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.
Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.
После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Для Google Chrome
Найдите папку установки Google Chrome по адресу: C:\Users\»имя пользователя»\AppData\Local\Google\Chrome\Application\User Data.
В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.
Запустите Google Chrome и будет создан новый файл Default.
Настройки Google Chrome сброшены
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Для Mozilla Firefox
В меню выберите Помощь > Информация для решения проблем.
Кликните кнопку Сбросить Firefox.
После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.
Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Как удалить microsofthost exe?
Подхватил майнер microsofthost exe он грузит проц на 50% когда выключен деспечер.
Если деспечер включен он его гасит через 1-2 минуты.
сбросил бы винду и нет проблем, так он и установщики винди гасит! хелпаните плзззззз
18 May 2020 в 20:56 #2
поставь линукс не парься с этим говном
а если серьезно, лол, с флешки загрузись в кудахтер, невозможно чтобы он пробрался в материнскую плату
18 May 2020 в 20:57 #3
Подхватил майнер microsofthost exe он грузит проц на 50% когда выключен деспечер.
Если деспечер включен он его гасит через 1-2 минуты.
сбросил бы винду и нет проблем, так он и установщики винди гасит! хелпаните плзззззз
Переустанови винду через «биос» и всё
18 May 2020 в 20:59 #4
Переустанови винду через «биос» и всё
У меня нету флешки с виндой прям щас, мне не хочется ждать до завтра и тд.
18 May 2020 в 21:06 #5
У меня нету флешки с виндой прям щас, мне не хочется ждать до завтра и тд.
18 May 2020 в 21:07 #6
Переустанови винду через «биос» и всё
Всё, я сделал всё как гений клоз тему
p.s- в программе system explorer нашел эти 2 жука
Потом нашел их деректорию и удалил (Если не удаляется «Файл уже открыт в..» то просто выключи её в system explorer и сразу же удали в папке (у тебя будет секунд 5) )
18 May 2020 в 21:07 #7
У меня нету флешки с виндой прям щас, мне не хочется ждать до завтра и тд.
А придется, такого рода майнеры практически не убиваемые, тоже ловил майнер, который маскировался и под системные процессы, аваст, двеб 360 не помогли, пришлось сносить винду.
18 May 2020 в 21:07 #8
А придется, такого рода майнеры практически не убиваемые, тоже ловил майнер, который маскировался и под системные процессы, аваст, двеб 360 не помогли, пришлось сносить винду.
18 May 2020 в 21:08 #9
А придется, такого рода майнеры практически не убиваемые, тоже ловил майнер, который маскировался и под системные процессы, аваст, двеб 360 не помогли, пришлось сносить винду.
UPD. Молодец, что справился без переустановки.
18 May 2020 в 21:13 #10
Всё, я сделал всё как гений клоз тему
p.s- в программе system explorer нашел эти 2 жука
Потом нашел их деректорию и удалил (Если не удаляется «Файл уже открыт в..» то просто выключи её в system explorer и сразу же удали в папке (у тебя будет секунд 5) )
У меня он возвращался через день-два
18 May 2020 в 21:14 #11
18 May 2020 в 21:15 #12
У меня 3-4 вируса палятся в диспетчере задач
Лень удалять уже год, просто вручную отключаю
18 May 2020 в 21:16 #13
Всё, я сделал всё как гений клоз тему
p.s- в программе system explorer нашел эти 2 жука
Потом нашел их деректорию и удалил (Если не удаляется «Файл уже открыт в..» то просто выключи её в system explorer и сразу же удали в папке (у тебя будет секунд 5) )
Видишь в чём прикол, если «У тебя будет секунд 5», это значит, что есть программа, которая её перезапускает => у тебя всё-равно в компе что-то из той серии висит, причём прячется хорошо и через время оно подкачает обратно майнер