Microsofthost exe как удалить windows 10

Как удалить скрытый майнер с ПК?

Смотрел на форумах но там все сложно непонятно, может кто-то подробно объяснит как его удалить?

Запоминайте друзья, сам только что поборол эту херь.
Открываем мой компухтер и вставляем путь на майнер: C:\ProgramData\WindowsTask\MicrosoftHost.exe -o stratum+tcp://loders.xyz:3333 -u RandomX_CPU —donate-level=1 -k -t2
Внося небольшие коррективы, и жмём «Enter»
Всё майнер сломан!
Так как это не вирус, а скрипт в винде Антивирусы бесполезны
Надеюсь помог, всем добра!

Сегодня тоже столкнулся с подобной ерундой.
Признаки ее наличия.
1) При отключенных приложениях ноут начинает перегреваться.
2) Открыв диспетчер задач, видим резкий скачек активности до 100% и тут же падение до нормального состояния, это связано с тем, что при открытии диспетчера задач эта прога останавливает свою деятельность и скрывается из диспетчера задач.
3) Диспетчер задач автоматически закрывается в течении пары минут и майнер продолжает работать.
4) Аналогично диспетчеру автоматом вырубается отображение скрытых и системных файлов.
5) Если скачать прогу ProxyFier и подключившись к любому VPN в списке у меня как раз появлялась прога которая стучалась на подозрительный сайт.
6) В Host файле заблокированы все ресурсы которые могут помочь решить проблему.

Судя по коментам выше мне попался более извращенный вариант майнера. Просто удалить или сломать файл не получалось, он каждый раз пересоздавался какой то другой прогой.

Действия необходимые для устранения конкретно моей версии:
1) Скачиваем ProxiFier или любой другой прокси менеджер который покажет какие программы пытаются отправлять данные.

2) Открываем файл C:\Windows\System32\drivers\etc\hosts и удаляем все заблокированные ресурсы такого вида:

127.0.0.1 support.kaspersky.ru
127.0.0.1 kaspersky.ru
.
и. т. д.

Майнер заблочил порядка 150 сайтов антивирусов и прочих.

3) Открываем Планировщик задач, (Ищем его в поиске windows)
В левой колонке открываем папку Библиотека планировщика заданий->Microsoft->Windows
В моем случае понадобилось отключить все задачи в папке Wininet

4) В папке C:\ProgramData\WindowsTask нужно заменить все файлы на текстовые документы с точно таким же названием и расширение, а так же добавить им свойство (Только чтение) и желательно удались все права доступа к этим файлам

5) Аналогичные действия проделать с файлам в папке C:\ProgramData\RealtekHD
Как раз после этого перестал закрываться диспетчер задач и скрываться системные файлы.

На этом все, перезагружаем комп и смотри на результат.

Примечание:
Если после включения показа системных и скрытых файлов они не отобразились, попробуйте сделать это снова, предварительно закрыв окно настроек.

скачал по своей ошибке файл с этим дерьмом
небыло не единого опасения и нате

Нашел решение сам
понадобится консоль
cd дальше путь, в моем случае был C:\ProgramData\WindowsTask\
но уверен создатель не заморачивался и сделал единый путь

после чего выдаем атрибуты принудительно в консоле — » attrib -s -h -r -a /s /d «
после у нас есть 1-3 секунд чтоб переключится на C:\ProgramData\WindowsTask\ тоесть директорию с майнером и там мы увидим уже те самые файлы

удаляем все, те что не удаляются оставляем, в моем случае было 2
повторяем это несколько раз пока не выйдет удалить 1 из этих 2х

дальше я так понимаю майнер бонально не может найти недостоющие файлы и крашится, воля

не знаю пока еще запускается ли он повторно при перезагрузке или же докачивает мейби недостоющие ( наврядли так будет продуманно )

но в любом случае мне это помогло
по крайней мере он перестал майнить но диспетчер задач все еще закрывается сам.

как решу допишу комментарий

использовал «LockHunter» он на офф. сайте бесплатно скачивается

С помощью ее указывая путь до того самого файла можно его удалить

C:\ProgramData\RealtekHD — еще одна директория где остались файлы майнера

через »LockHunter’ находим 2 процесса что расположены там и смело удаляем

После перезагрузки, выполните такой скрипт:

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

——-

Microsofthost exe как удалить майнер

Адель Шиловский

Андрей Болдырев

Адель Шиловский

Андрей Болдырев ответил Аделю

Адель Шиловский

Адель Шиловский ответил Александру

Даня Паринов ответил Аделю

Адель Шиловский ответил Дане

Даня Паринов ответил Аделю

Илья Кобенко

Источник

0 / 0 / 0

Регистрация: 17.06.2023

Сообщений: 7

17.06.2023, 12:36. Показов 599. Ответов 13

Заметил, что компьютер начал сильно грузиться и шуметь. Подумал майнер, оказалось все так.
В Dr.web cureit выдало MicrosoftHost.exe.
В диспетчере задач увидел что из папки ProgramData запускается Realteck HD Audio и COM Surrogate.
Майнер закрывает все папки и приложения с любым подозрением на антивирус. В файле hosts мельком заметил сайты антивирусов.

0 / 0 / 0

Регистрация: 17.06.2023

Сообщений: 7

17.06.2023, 13:33

[ТС]

Логи подготовлены. Чтобы работать с программами приходиться постоянно контролировать а диспетчере задач Realteck HD Audio и COM Surrogate, и сразу же снимать задачу с них.

12789 / 6940 / 1448

Регистрация: 06.09.2009

Сообщений: 25,758

17.06.2023, 13:48

Сообщение было отмечено Orpili0 как решение

Решение

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

0 / 0 / 0

Регистрация: 17.06.2023

Сообщений: 7

17.06.2023, 13:59

[ТС]

После AVbr в диспетчере задач перестали появляться Realteck и COM.

12789 / 6940 / 1448

Регистрация: 06.09.2009

Сообщений: 25,758

17.06.2023, 16:11

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

0 / 0 / 0

Регистрация: 17.06.2023

Сообщений: 7

17.06.2023, 16:22

[ТС]

Архив

12789 / 6940 / 1448

Регистрация: 06.09.2009

Сообщений: 25,758

17.06.2023, 17:55

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Код

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-495336376-2746566818-3800416036-1001\...\Run: [PlanetVPN] => C:\Program Files (x86)\PlanetVPN\PlanetVPN.exe (Нет файла)
Task: {4303DD21-10C5-49C4-B918-0C5F2B87917D} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {8290C01A-F0C1-4FFB-9CE6-B6686FE58203} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
ContextMenuHandlers1_S-1-5-21-495336376-2746566818-3800416036-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Ярослав\AppData\Local\Kingsoft\WPS Office\11.2.0.11537\office6\kwpsmenushellext64.dll -> Нет файла
ContextMenuHandlers4_S-1-5-21-495336376-2746566818-3800416036-1001: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Ярослав\AppData\Local\Kingsoft\WPS Office\11.2.0.11537\office6\kwpsmenushellext64.dll -> Нет файла
AlternateDataStreams: C:\Users\Ярослав\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Ярослав\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Ярослав\AppData\Local\Microsoft:ISBD [32]
FirewallRules: [{67FFBA48-902F-46CD-BCE4-C4DC524EC4E8}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{1AD90A1E-D6EB-44A8-B57B-F77FC8F9571C}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{49CF356B-DDA3-41DC-B8BF-52E3A0C29541}] => (Allow) C:\Users\Ярослав\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{211DEFDE-0AFE-4385-8B48-7365D648DED8}] => (Allow) C:\Users\Ярослав\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{F90CF118-EDBF-405E-B6D8-0A45F2DAF944}] => (Allow) C:\Users\Ярослав\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{93DB47F9-2B90-41F4-8C67-0FD4D7631DA6}] => (Allow) C:\Users\Ярослав\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{89733696-7B62-40EF-97F5-4B7908E34049}] => (Allow) D:\Program Files (x86)\steamapps\common\Dying Light\DevTools\DyingLightPlayer.exe => Нет файла
FirewallRules: [{AB8CEB50-A425-44B8-B22C-4C5B4133CFA1}] => (Allow) D:\Program Files (x86)\steamapps\common\Dying Light\DevTools\DyingLightPlayer.exe => Нет файла
FirewallRules: [{2085BC6E-279D-4F00-B3F5-74D80A69D135}] => (Allow) D:\Program Files (x86)\steamapps\common\Deep Rock Galactic\Legacy\FSD.exe => Нет файла
FirewallRules: [{2CEFB954-BBF5-4C9A-87F1-2305B7F0A864}] => (Allow) D:\Program Files (x86)\steamapps\common\Deep Rock Galactic\Legacy\FSD.exe => Нет файла
FirewallRules: [{8DE082FF-98E7-413B-A34F-DA1C42401EB2}] => (Allow) D:\Program Files (x86)\steamapps\common\Necesse\jre\bin\javaw.exe => Нет файла
FirewallRules: [{74245CDA-B300-4404-AA85-5B29F0D20BF8}] => (Allow) D:\Program Files (x86)\steamapps\common\Necesse\jre\bin\javaw.exe => Нет файла
FirewallRules: [{671F7D2A-945A-437C-AA96-67304BC92457}] => (Allow) C:\Users\Ярослав\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{71241643-FF15-4D70-B6DA-F2A253003BB5}] => (Allow) C:\Users\Ярослав\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

0 / 0 / 0

Регистрация: 17.06.2023

Сообщений: 7

17.06.2023, 18:28

[ТС]

прикреплено

12789 / 6940 / 1448

Регистрация: 06.09.2009

Сообщений: 25,758

17.06.2023, 20:40

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

0 / 0 / 0

Регистрация: 17.06.2023

Сообщений: 7

17.06.2023, 21:46

[ТС]

прикреплено

12789 / 6940 / 1448

Регистрация: 06.09.2009

Сообщений: 25,758

17.06.2023, 22:38

———————- [ AntiVirusFirewallInstall ] ————————
Kaspersky Total Security v.21.3.10.391 Внимание! Скачать обновления
————————— [ IMAndCollaborate ] —————————
Discord v.1.0.9007 Внимание! Скачать обновления
Zoom v.5.14.2 (14578) Внимание! Скачать обновления
——————————— [ Java ] ———————————
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe — Windows Offline (64-bit))^
——————————— [ Media ] ———————————
AIMP v.5.11.2429 Внимание! Скачать обновления
—————————- [ UnwantedApps ] ——————————
CCleaner v.6.13 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Ashampoo Driver Updater v.1.5.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
CCleaner 2.10.24 v.2.10.24 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

по возможности исправьте указанное + Рекомендации после удаления вредоносного ПО

0 / 0 / 0

Регистрация: 17.06.2023

Сообщений: 7

17.06.2023, 23:04

[ТС]

Спасибо майнер удалился, но меня тревожит один момент. Когда включаю диспетчер задач вижу, что процессор загружен на 100%, спустя пару секунд проценты спадают. Что это может быть?

12789 / 6940 / 1448

Регистрация: 06.09.2009

Сообщений: 25,758

17.06.2023, 23:29

Это нормальное поведение диспетчера задач, которому тоже требуются ресурсы, чтобы собрать информацию о запущенных процессах

IT_Exp Эксперт 87844 / 49110 / 22898 Регистрация: 17.06.2006 Сообщений: 92,604	17.06.2023, 23:29
14

Источник

Зловред — это программа или расширение для браузеров, который, пользуясь невнимательностью пользователя, может проникать в операционную систему и менять настройки в вашем браузере.

Из самых популярных совершаемых действий можно выделить:

установка расширений в браузеры;
подмена стартовой страницы;
подмена поисковой системы;
подмена ярлыков браузеров;
внедрение баннеров и js скриптов на страницы сайтов;
отключение обновлений браузеров;
установка «своего» браузера по умолчанию;
установка ПО, настойчиво требующего оплаты какого-то непонятного функционала;
установка freemium игр без спроса пользователя;
установка своих драйверов в систему для перехвата и модификации трафика.

Бороться с таким софтом, как microsofthost exe, помогает Чистилка.

Как закрыть microsofthost exe

Шаг 1. Скачайте программу «Чистилка» (красная кнопка слева)

Шаг 2. Запустите программу «Чистилка» (скачанный файл chistilka.exe)

Шаг 3. Выбрав объекты для удаления, для полного избавления от зловреда microsofthost exe нажимаем кнопку «Обезвредить».

Шаг 4. Поздравляем, ваш компьютер чист!

Чистилка — совершенная защита от мусорного и ненужного ПО, которое проникает в ваш компьютер через нежелательные программы и рекламные объявления.

Надежная защита от всех вредоносных программ. Чистилка находит и удаляет вредоносные трояны, черви и шпионы.

Чистилка быстро избавит ваш компьютер от надоедливой рекламы и увеличит скорость работы Windows.

Источник