Форум esetnod32.ru [тема: TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов] http://forum.esetnod32.ru Новое в теме TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 01 May 2026 13:22:10 +0300 TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов Подхватил майнер в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо большое! Тему можно закрыть
25.02.2021 15:14:17, Evgeny Mineev.]]> http://forum.esetnod32.ru/messages/forum6/topic16344/message111969/ http://forum.esetnod32.ru/messages/forum6/topic16344/message111969/ Thu, 25 Feb 2021 15:14:17 +0300 Обнаружение вредоносного кода и ложные срабатывания TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов Подхватил майнер в форуме Обнаружение вредоносного кода и ложные срабатывания.
такой еще скрипт выполните в FRST.
можно просто скопировать скрипт в буфер обмена, и нажать в FRST fix

====quote====

Start::
2021-02-24 14:12 - 2021-02-25 00:50 - 000000000 __SHD C:\AdwCleaner
End::

=============

25.02.2021 14:22:37, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16344/message111967/ http://forum.esetnod32.ru/messages/forum6/topic16344/message111967/ Thu, 25 Feb 2021 14:22:37 +0300 Обнаружение вредоносного кода и ложные срабатывания TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов Подхватил майнер в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, эта папка не попала в список разблокировки
2021-02-24 14:12 - 2021-02-25 00:50 - 000000000 __SHD C:\AdwCleaner
25.02.2021 14:19:41, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16344/message111966/ http://forum.esetnod32.ru/messages/forum6/topic16344/message111966/ Thu, 25 Feb 2021 14:19:41 +0300 Обнаружение вредоносного кода и ложные срабатывания TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов Подхватил майнер в форуме Обнаружение вредоносного кода и ложные срабатывания.
Только с правами я так и не разобрался. Со второй учётной записи, которая тоже администратор я могу удалять это

25.02.2021 14:13:50, Evgeny Mineev.]]> http://forum.esetnod32.ru/messages/forum6/topic16344/message111964/ http://forum.esetnod32.ru/messages/forum6/topic16344/message111964/ Thu, 25 Feb 2021 14:13:50 +0300 Обнаружение вредоносного кода и ложные срабатывания TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов Подхватил майнер в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
в принципе, система очищена, от блокирующих политик, троянов, и заблокированных папок
=============
Спасибо Вам большое!!!
25.02.2021 14:08:32, Evgeny Mineev.]]> http://forum.esetnod32.ru/messages/forum6/topic16344/message111963/ http://forum.esetnod32.ru/messages/forum6/topic16344/message111963/ Thu, 25 Feb 2021 14:08:32 +0300 Обнаружение вредоносного кода и ложные срабатывания TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов Подхватил майнер в форуме Обнаружение вредоносного кода и ложные срабатывания.
в принципе, система очищена, от блокирующих политик, троянов, и заблокированных папок
25.02.2021 14:07:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16344/message111962/ http://forum.esetnod32.ru/messages/forum6/topic16344/message111962/ Thu, 25 Feb 2021 14:07:08 +0300 Обнаружение вредоносного кода и ложные срабатывания TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов Подхватил майнер в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ну после запуска первого скрипта никаких деисталяций не было(визуально точно), после перезагрузки не входило в учётку (бесконечная загрузка) я перезапустился ещё раз и быстро вошёл.


Лог файл из Farbar Recovery Scan Tool  
Fixlog.txt
25.02.2021 13:58:42, Evgeny Mineev.]]> http://forum.esetnod32.ru/messages/forum6/topic16344/message111961/ http://forum.esetnod32.ru/messages/forum6/topic16344/message111961/ Thu, 25 Feb 2021 13:58:42 +0300 Обнаружение вредоносного кода и ложные срабатывания TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов Подхватил майнер в форуме Обнаружение вредоносного кода и ложные срабатывания.
далее,

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


====code==== 
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
Task: {2263BE8D-8EB3-461B-AFF8-E822D9D19C8E} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ВНИМАНИЕ
Task: {4137E121-98CF-4999-9D16-173D000F4E5B} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ
Task: {77E89627-326E-4028-A775-25753567BF93} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Task: {7CD171B6-4E01-442F-B4B0-A32C2102BC69} - System32\Tasks\Microsoft\Windows\Wininet\Taskhostw => C:\Programdata\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ
Task: {BEDF3580-DB74-4D58-8A09-9DEF8123F9AE} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe <==== ВНИМАНИЕ
Task: {E4DAF598-67DE-48C3-87D8-DF762A22ED3E} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP => C:\Programdata\RealtekHD\taskhost.exe <==== ВНИМАНИЕ
S3 WinRing0_1_2_0; C:\ProgramData\WindowsTask\WinRing0x64.sys [14544 2020-06-08] (Noriyuki MIYAZAKI -> OpenLibSys.org)
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\Malwarebytes
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\ESET
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\COMODO
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\Cezurity
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\ByteFence
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\AVG
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\AVAST Software
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 ____D C:\WINDOWS\speechstracing
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 ____D C:\ProgramData\MB3Install
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 ____D C:\ProgramData\Malwarebytes
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 ____D C:\ProgramData\Indus
2021-02-24 14:11 - 2021-02-25 13:36 - 000000000 __SHD C:\ProgramData\WindowsTask
2021-02-24 14:11 - 2021-02-25 13:36 - 000000000 __SHD C:\ProgramData\Windows
2021-02-24 14:11 - 2021-02-25 13:36 - 000000000 ____D C:\ProgramData\install
2021-02-24 14:11 - 2021-02-24 14:11 - 000000000 __SHD C:\ProgramData\RunDLL
2021-02-24 14:11 - 2021-02-24 14:11 - 000000000 ____D C:\ProgramData\System32

EmptyTemp:
Reboot:
=============
25.02.2021 12:17:00, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16344/message111960/ http://forum.esetnod32.ru/messages/forum6/topic16344/message111960/ Thu, 25 Feb 2021 12:17:00 +0300 Обнаружение вредоносного кода и ложные срабатывания TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов Подхватил майнер в форуме Обнаружение вредоносного кода и ложные срабатывания.
в uVS выполните очистку системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3DONDEMAND%26UC
apply


deltmp
delref %SystemRoot%\SYSWOW64\TILTWHEELMOUSE.EXE
delref %SystemDrive%\USERS\EVGEN\APPDATA\LOCAL\TEMP\CHROME_BITS_4312_1845273386\AIBKUV7JOLTWO_MRBTI1W_4
delref %SystemDrive%\USERS\EVGEN\APPDATA\LOCAL\TEMP\EDGE_BITS_8732_1588635793\9C839662-0AE0-4A3D-ABF2-EDBA1AF63603
delref %SystemDrive%\WEBSERVERS\DENWER\BOOT.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\REMPL\SEDLAUNCHER.EXE
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\USERS\EVGEN\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\[CLSID]
delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {748F920F-FB24-4D09-B360-BAF6F199AD6D}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref {E8C77137-E224-5791-B6E9-FF0305797A13}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %Sys32%\DRIVERS\INTCAUDIOBUS.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\UNP\UNPCAMPAIGNMANAGER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref SWPRV\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\SSUDBUS.SYS
delref %Sys32%\DRIVERS\EFAVDRV.SYS
delref IRENUM\[SERVICE]
delref %SystemDrive%\USERS\EVGEN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\3QM2PR3I.DEFAULT\EXTENSIONS\ASCSURFINGPROTECTIONNEW@IOBIT.COM.XPI
delref %SystemDrive%\USERS\EVGEN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\3QM2PR3I.DEFAULT\EXTENSIONS\SOVETNIK@METABAR.RU.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FORMAUTOFILL@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT-REPORTER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\WEBCOMPAT-REPORTER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\FXMONITOR@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\FORMAUTOFILL@MOZILLA.ORG.XPI
delref %SystemDrive%\GAMES\WARGAMING.NET\GAMECENTER\DLLS\PLUGINHOSTPS.DLL
delref %SystemDrive%\GAMES\WARGAMING.NET\GAMECENTER\DLLS\PLUGINHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_201\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_CEBA516BAEA4BED9\IGFXEXPS32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_856EC29E64962CFB\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_856EC29E64962CFB\NVDECMFTMJPEG.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_856EC29E64962CFB\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref E:\AUTORUN.EXE
delref %SystemDrive%\USERS\EVGEN\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
delref %SystemDrive%\USERS\EVGEN\DESKTOP\ESETONLINESCANNER_RUS.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS\HD-MULTIINSTANCEMANAGER.EXE
delref %SystemDrive%\PROGRAMDATA\BLUESTACKS\CLIENT\BLUESTACKS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\SPLENDID\ACVT.EXE
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
25.02.2021 12:07:34, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16344/message111959/ http://forum.esetnod32.ru/messages/forum6/topic16344/message111959/ Thu, 25 Feb 2021 12:07:34 +0300 Обнаружение вредоносного кода и ложные срабатывания TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов Подхватил майнер в форуме Обнаружение вредоносного кода и ложные срабатывания.
Я правильно понимаю это нужно в планировщике заданий почистить?

UPD: Удалил всё в планировщике заданий из Вашего списка и вы были правы папка с этими файлами пуста. И в реестре почистил запреты
25.02.2021 10:21:34, Evgeny Mineev.]]> http://forum.esetnod32.ru/messages/forum6/topic16344/message111958/ http://forum.esetnod32.ru/messages/forum6/topic16344/message111958/ Thu, 25 Feb 2021 10:21:34 +0300 Обнаружение вредоносного кода и ложные срабатывания TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов Подхватил майнер в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
добавьте еще образ автозапуска
+
добавьте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/
=============


Вот, спасибо, что помогаете  
Addition.txt
FRST.txt
DESKTOP-79K2EJS_2021-02-25_12-45-29_v4.11.7z
25.02.2021 10:17:13, Evgeny Mineev.]]> http://forum.esetnod32.ru/messages/forum6/topic16344/message111957/ http://forum.esetnod32.ru/messages/forum6/topic16344/message111957/ Thu, 25 Feb 2021 10:17:13 +0300 Обнаружение вредоносного кода и ложные срабатывания TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов Подхватил майнер в форуме Обнаружение вредоносного кода и ложные срабатывания.
судя по логу ESI имеем запрет на запуск следующих инсталляторов:

====quote====
"Key" = "HKU\S-1-5-21-533093311-1531349430-323674345-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Expl­orer\DisallowRun" ( 5: Неизвестно ) ;
"1" = "eav_trial_rus.exe" ( 5: Неизвестно ) ;
"2" = "avast_free_antivirus_setup_online.exe" ( 5: Неизвестно ) ;
"3" = "eis_trial_rus.exe" ( 5: Неизвестно ) ;
"4" = "essf_trial_rus.exe" ( 5: Неизвестно ) ;
"5" = "hitmanpro_x64.exe" ( 5: Неизвестно ) ;
"6" = "ESETOnlineScanner_UKR.exe" ( 5: Неизвестно ) ;
"7" = "ESETOnlineScanner_RUS.exe" ( 5: Неизвестно ) ;
"8" = "HitmanPro.exe" ( 5: Неизвестно ) ;
"9" = "360TS_Setup_Mini.exe" ( 5: Неизвестно ) ;
"10" = "Cezurity_Scanner_Pro_Free.exe" ( 5: Неизвестно ) ;
"11" = "Cube.exe" ( 5: Неизвестно ) ;
=============
+
задачи с запуском файлов майнера (возможно, сами файлы уже убиты)

====quote====
"Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\Cleaner" ( 5: Неизвестно ) ;
"Командная строка" = "c:\programdata\windowstask\winlogon.exe" ( 5: Неизвестно ) ;

"Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\RealtekHDC­ontrol" ( 5: Неизвестно ) ;
 "Командная строка" = "c:\programdata\realtekhd\taskhost.exe" ( 5: Неизвестно ) ;

"Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\RealtekHDS­tartUP" ( 5: Неизвестно ) ;
 "Командная строка" = "c:\programdata\realtekhd\taskhost.exe" ( 5: Неизвестно ) ;

"Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\Taskhost" ( 5: Неизвестно ) ;
 "Командная строка" = "c:\programdata\realtekhd\taskhostw.exe" ( 5: Неизвестно ) ;

"Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\Taskhostw"­ ( 5: Неизвестно ) ;
 "Командная строка" = "c:\programdata\realtekhd\taskhostw.exe" ( 5: Неизвестно ) ;

=============


добавьте еще образ автозапуска
+
добавьте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/
25.02.2021 09:40:50, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16344/message111956/ http://forum.esetnod32.ru/messages/forum6/topic16344/message111956/ Thu, 25 Feb 2021 09:40:50 +0300 Обнаружение вредоносного кода и ложные срабатывания TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов Подхватил майнер в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте форумчане!
Ну собсно история такая. Сидел я себе ночью в телефоне и слышу как начинает с бешеной скоростью крутиться кулер, открыл диспетчер естественно нагрузка спадает моментально кулер успокоился о таких вещах я слышал и сразу принялся искать заразу. Запустил я значит процессхакер и давай бдить пока майнер снова начнёт свою работу, он начал я его нашёл в ручную удалил, кстати он ещё записал в hosts ссылки на все сайты антивирусного ПО. Ну так вот вроде там сям почистил, но не могу установить ни один антивирус(никогда не было антивирусного ПО) любой антивирусный exeшник пишет мне ошибку 1303 нет доступа. А ещё ночью я с флешки от Касперского утилиту запустил утром все почистил. Установил я eset по рекомендации из другой темы создал три папки в корне диска и установил. Теперь я защищён, но мне не даёт покоя куча папок с названием антивирусов, и отсутсвие у меня прав на удаление. А также понимание, что к этим папкам и у антивирусов нет доступа. Собсно проблема с доступом, а я простой бармен, а не сисадмин и с таким мне сложно справиться. Помогите пожалуйста.

UPD: Сейчас создал учётную запись администратора(до этого была одна учётка администратора) с новой учетки могу удалять эти папки, но на той всё также

P.S. Если я написал не туда не ругайтесь сильно.  
SysInspector-DESKTOP-79K2EJS-210225-104407.zip
25.02.2021 08:14:24, Evgeny Mineev.]]> http://forum.esetnod32.ru/messages/forum6/topic16344/message111955/ http://forum.esetnod32.ru/messages/forum6/topic16344/message111955/ Thu, 25 Feb 2021 08:14:24 +0300 Обнаружение вредоносного кода и ложные срабатывания