C programdata windows task service

Доброго времени суток!

ⵈ━═══════════════════════════╗◊╔═════════════════════════════━ⵈ

Расскажу, как я победил один из самых опасных майнеров — Tool.BtcMine.2733 и Tool.BtcMine.2714 (в комментариях!
Он работает невероятно скрытно и как безопасник, я был уничтожен полностью.
Сам майнер использует лишь 10-15% мощности вашего железа, вы будете думать, что компьютер просто тупит!
По майнерам 27… очень мало информации в интернете, есть примерные наброски и мысли на форумах.

Картинка с сайта: www.drive2.ru

КАК БЫЛО У МЕНЯ
Скачал тулл-кил с торрента.
Весь пакет прошел скан, ни один из сканеров не ругался.
Кроме Дефендера. Я проигнорировал его требования и добавил файл в исключения для системы защиты винды.
Файл представлял собой обычный конфиг. Просто текстовый файл с простейшими настройками режима работа.
Там не было ни-че-го.
В итоге, это оказался последний кусочек пазла, который вскрыл ящик пандоры. Необходимо было только его наличие в корневой папке.

Я запустил, установил прогу — ничего не ругалось.
Через 3 дня, я заметил, что мой VR подлагивает при трансляции на хостинг.
На моем железе такое просто не возможно ибо — R7 3700X/64gb ddr4/3060 12gb.
Ранее проблем не замечалось.
При чем лаги начинались через минут 5 после игры.
Дело в том, что этот майнер работает только тогда, когда уходите от компа и команд от пользователя не поступает!
Я решил перезагрузить гарнитуру и ПК.
И увидел, что у меня на загрузочном экране появился профиль с названием Jonh.
Естественно, первое, что я сделал — выдернул штекер коммутатора инета.
Я попытался удалить пользователя, но… у меня не было прав!
И все, что я мог наблюдать — как он настраивает сетевые протоколы в журнале событий и закрывает мне доступ к системным папкам.
А так же хавает мою видюху на 61* температуры.

ЧТО ДЕЛАТЬ?

НЕ ПЕРЕУСТАНАВЛИВАЙТЕ систему! Это не поможет!
Это на столько умная дрянь, что она распознает загрузочную флэшку, отгрызает себе кусок от диска и шифрует его! Вы даже не успеете увидеть экран приветствия, как она уже будет наводить там свои порядки!

Безопасный режим
Без включения интернета входим в безопасный режим, удаляем второго пользователя через настройки об учетных записях.
Нужно включить видимость скрытых папок иначе вы просто не зайдете в каталоги.
Если вы уже просканировали ваш комп Cure It — сохраните отчет и сфотайте на телефон.

Картинка с сайта: www.drive2.ru

Tool.BtcMine.2733
Trojan.Autoit.1224
Trojan.Autoit.1124
Trojan.Autoit.1131
rdpwrap.dll
taskhostw
taskhost — клон.
Вам нужно обратить внимание на пути — если Cure It их не удалил — перейти в каталог и удалить.
Два последних — не вылечатся предупреждаю сразу, чтобы вы не делали. Они будут возвращаться снова и снова.
Решение просто и надежно, как швейцарские часы.
Заходите в диспетчер задач и ищете taskhostw с номером процесса, который у вас на скрине, он указан в пути на моем фото. Не завершаете его, переходите через его свойства в расположение. Открываете правой кнопкой свойства — безопасность- кнопка дополнительно.

Картинка с сайта: www.drive2.ru

Вот например так.
Здесь жмете кнопку — изменить.

Картинка с сайта: www.drive2.ru

Вписываете имя вашей учетной записи, в моем случае — AVR.
Соглашаетесь с изменением хозяина папки. Т.к. вы из под рута, вы можете менять права между собой у пользователей.
Там будет стоять право для TrustedInstaller.
Его необходимо удалить, удалить так же пользователя John из прав.

Картинка с сайта: www.drive2.ru

Выделяете, жмете кнопку удалить и применить.
Удаляете, удаляете из корзины.
ПРОЦЕДУРУ ПРОДЕЛАТЬ СО ВСЕМИ ПРОЦЕССАМИ И ПАПКАМИ ИЗ СКРИНА!
Если вы не нашли папки
C:\PROGRAMDATA\REALTEKHD
C:\PROGRAMDATA\WINDOWSTASK
C:\PROGRAMDATA\WINDOWS TASKS SERVICE, значит Cure It их уже удалил.
Я, к сожалению не вспомню, но еще поищите папку — crl optimization v4… — убрать точно так же!
В самом Cure It — НЕЛЬЗЯ ВЫБИРАТЬ ЛЕЧЕНИЕ ИЛИ КАРАНТИН — ТОЛЬКО УДАЛИТЬ!
Можете попробовать еще RogueKiller, чтобы расправиться с папками.

Три волшебных буквы CMD

1. Сброс стека протоколов TCP/IP.
В том же CMD от админа:
Пишем notepad C:\windows\system32\drivers\etc\hosts — проверяем ваш IP, чтобы не было ничего лишнего, кроме него и 127.0.0.1.
У некоторых буде файл Icalendar расширения, подобно проверяем.
В той же консоли пишем — netsh winsock reset.
КОМП НЕ ПЕРЕЗАГРУЖАЕМ ДО ПУНКТА — » ПОСЛЕ ЧИСТКИ » !
Далее netsh int ip reset c:\resetlog.txt
Далее ipconfig /flushdns

Если пишет, что нужны права админа — перезапустите консоль от админа с правой клавиши мыши.

2.Отключаем SMB-протокол
Пишем
Dism /online /Disable-Feature /FeatureName:»SMB1Protocol»
Dism /online /Disable-Feature /FeatureName:»SMB1Protoco-Client»
Dism /online /Disable-Feature /FeatureName:»SMB1Protocol-Server»

Здесь мы отключили поддержку клиента файлового сервера и доступа к сетевой папке.

Вводим — Dism /online /Get-Features /format:table | find «SMB1Protocol» — Все пункты должны быть Disabled.

3.Перезапуск SSH и RDP
Win+R — вводим — services.msc
Найдите в списке служб — SSDP Discovery — и остановите принудительно.
Далее заходим в Панель управления — Система и безопасность — Система — Настройка удаленного доступа.
Делаем, как на скрине.

Картинка с сайта: www.drive2.ru

Картинка с сайта: www.drive2.ru

Чистка исходников
Будьте с собой откровенны и деинсталируйте все, что поставили и скачали начиная с даты, когда предположительно могли подцепить вирусню.
Все торренты, все данные, все картинки и видео, все-все-все.
Я смотрел по истории скачивания и установки + сравнивал с процессами из журнала событий.
Да, работа муторная, но без этого никак.
Нужно еще по хорошему почистить папки в реестре точно так же.
У меня их было 3 или 4 всего, искал по названиям процессов из того же журнала событий.
Включите весь перечень дефолтной защиты Винды и Брандмауэра.

После чистки и команд
Перезагружаем, смотрим процессы.
Сканируем комп.
Придумайте, как поймать активность.
Я подключал VR и играл без инета и с ним, с интервалами по 15 минут. До наших манипуляций вирус активировался после 5 минут начала игры в VR — Имеется ввиду, что комп фоново подготавливает картинку в VR, но прямых команд нет и фактически он бездействует, значит пора выходить вирусу. Но когда вирус начинает работу, у меня проседают кадры с 120+ до 25-20 и прогрузка после поворота головы с провисанием)
После моих действий — играли сегодня, я вел стрим на хостинг снова и проблем не было никаких, температура и потребление в порядке, кадры, качество картинки тоже.

ⵈ━═══════════════════════════╗◊╔═════════════════════════════━ⵈ

Сразу предупреждаю, что единственное полное решение проблемы — купить другой жесткий диск.
Я не смог найти нормальный и полный способ потому что слишком глуп и туп. А вирус — он как гидра.
Главное запомните — отключите интернет.
В моем случае, я просидел день, чтобы понять куда копать. Интернет пуст, все вирусы здесь.
В данном случае, мы убрали головные и вспомогательные файлы, убрали процессы, права и переломали весь алгоритм связи между свежей фермой и сервером для хранения крипты.

Если вы НЕ запустите снова этот файл — ничего не случится.
Если кто-то знает, чем дополнить или альтернативы — пишите в комменты или лс, дополню статью.
Давайте бороться с этим контрацептивами вместе.

ⵈ━═══════════════════════════╗◊╔═════════════════════════════━ⵈ

Берегите своих двоичных, всем peace.

25.05.2023, 16:17. Показов 25720. Ответов 18

0

Readers help support Windows Report. We may get a commission if you buy through our links.

Read our disclosure page to find out how can you help Windows Report sustain the editorial team. Read more

The Windows operating system comprises many background files and processes. Winserv.exe belongs in this category. We have a guide that explains how many processes run in the background, so you can learn more about the subject.

If you are wondering what this executable is and its use on the OS, this guide will give you all the necessary information.

What is Winserv.exe?

This executable was released in 2004 by Sw4me Programmers Group; it is typically 34,304 bytes and performs these functions:

• Create an NT service running any application.
• Configure, control, and view the status of any NT service.

These NT services are applications that operate in the background and give the operating system some crucial functionality. Remember that it is possible to disable background applications, so you can always stop this file from running.

What is Winserv.exe location?

Once downloaded, you will be able to find the file in a subdirectory of the Program Data folder, as shown below:

C:\ProgramData\Windows Tasks Service\

Картинка с сайта: windowsreport.com

Is Winserv.exe a virus?

From what we gather, this file is not necessarily malicious and may be integral to creating and managing NT services, monitoring NT services, and logging NT service events.

However, since a few users have indicated some concerns, we recommend running a scan with a trusted antivirus program to be on the safe side.

Should I disable Winserv.exe?

This is entirely up to you. You may, however, perform a winserv.exe uninstall or disable the executable if you observe the following:

• If you are experiencing problems with NT services.
• If your use a third-party service manager.

Also, be mindful that you may experience the following if you disable the process:

• You may become more open to malware attacks since the process manages some of Windows’ security features.
• You may be unable to use certain Windows features like the Update and Firewall features.
• Lastly, certain NT services may not start or stop properly.

How do I disable Windserv.exe?

Use the Task Manager

1. Hold Ctrl + Shift + Esc to open the Task Manager window.
2. Locate the Winserv.exe process and right-click on it.
3. Next, click on End task.
   

   Картинка с сайта: windowsreport.com

We hope this guide is valuable to you, as our ultimate goal is to enlighten your knowledge on this executable.

We discuss some other executable files like Pacjsworker-exe so that you may read and expand your knowledge.

Lastly, we value your feedback and would love to hear from you. Please feel free to share your thoughts and leave a comment below with your perspective.

Afam is a geek and the go-to among his peers for computer solutions. He has a wealth of experience with Windows operating systems, dating back to his introduction to Windows 98. He is passionate about technology amongst many other fields. Aside from putting pen to paper, he is a passionate soccer lover, a dog breeder, and enjoys playing the guitar and piano.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe [30855696 2023-08-08] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-127864874-1257540592-420147299-1001\...\MountPoints2: {b9f7a7fb-2061-11ec-841e-382c4a628c58} - "E:\Setup.exe" 
HKU\S-1-5-18\...\Run: [] => [X]
Task: {6772566F-D0E9-4E15-9EA3-A01F07B59398} - System32\Tasks\Microsoft\Windows\CheckGlobalY\RecoveryHosts => C:\ProgramData\Microsoft\Network\XINxhjJ\CheckGlobalY.bat [2771 2023-08-29] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {71E028E3-0F26-4231-8A82-4A0091B85F91} - System32\Tasks\Microsoft\Windows\CheckGlobalY\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe [30855696 2023-08-08] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {76657C3D-8F62-4A13-B291-8977205CCF76} - System32\Tasks\Microsoft\Windows\CheckGlobalY\XINxhjJ => C:\Programdata\ReaItekHD\taskhost.exe [22820368 2023-08-07] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\Network\XINxhjJ\CheckGlobalY.bat
Task: {CDF82114-A44B-43CD-B012-F82B8A2AD186} - System32\Tasks\Microsoft\Windows\WindowsBackup\ManagerSystem => C:\Programdata\ReaItekHD\taskhostw.exe [30855696 2023-08-08] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {F11BA4AA-7C93-48DD-9C63-8BF6292F88CE} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe [30855696 2023-08-08] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {5E532709-9A52-441D-95B5-8F753D0FE386} - System32\Tasks\Microsoft\Windows\Wininet\Hor => C:\ProgramData\Microsoft\Network\XINxhjJ\Game.exe [53231134 2023-08-08] () [Файл не подписан]
Task: {0CE9CEBB-5826-403A-9AA8-89CDEBF5985F} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {B2AB7D86-52DF-4626-A545-283672B4521C} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ
C:\ProgramData\Microsoft\Network\XINxhjJ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Удалите старые файлы FRST.txt и Addition.txt, сделайте новые логи Farbar
 

The genuine winserv.exe file is a software component of WinServ by .
Winserv.exe is the Windows executable file for WinServ, which is a program used to build an NT service in windows that runs a particular application. It also has the ability to manage local or remote NT services that were not created by it. It is free, open source software designed for administrators, developers, programmers, etc. to use for their NT service needs. Viruses have been known to create file names that include WinServ.exe, which remotely uses IP and LAN connections to transmit malicious files. Sw4me is a Russian partnership of freelance programmers, focused on developing software for their clients. Many applications have been presented to anyone who may find a need for them, but were originally designed for their clients.

WinServ stands for Windows Server

The .exe extension on a filename indicates an executable file. Executable files may, in some cases, harm your computer. Therefore, please read below to decide for yourself whether the winserv.exe on your computer is a Trojan that you should remove, or whether it is a file belonging to the Windows operating system or to a trusted application.

Click to Run a Free Scan for winserv.exe related errors

Winserv.exe file information

Картинка с сайта: www.file.net

The process known as System appears to belong to software System or BitNami Subversion Stack or Multicraft by tox.

Description: Winserv.exe is not essential for Windows and will often cause problems. Winserv.exe is located in a subfolder of «C:\ProgramData»—mostly C:\ProgramData\Windows Tasks Service\.
Known file sizes on Windows 10/11/7 are 10,675,712 bytes (95% of all occurrences) or 34,304 bytes.  

The winserv.exe file is not a Windows system file. Windows Task Scheduler starts this process at a specific time. The program is not visible. The application uses ports to connect to or from a LAN or the Internet.
Winserv.exe is able to monitor applications, record keyboard and mouse inputs, connect to the Internet and manipulate other programs.
Therefore the technical security rating is 84% dangerous.

Uninstalling this variant:
If there are any problems with winserv.exe, you can also do the following:
  1) uninstall the software BitNami Subversion Stack or Multicraft using the Uninstall a Program function of Windows Control Panel (Windows: Start, Settings, Control Panel, Uninstall a Program)
  2) ask the developer, Bitnami, for assistance.

Recommended: Identify winserv.exe related errors

If winserv.exe is located in the C:\Windows folder, the security rating is 81% dangerous. The file size is 3,174,912 bytes.
The program has no visible window. There is no file information. Winserv.exe is not a Windows system file. Winserv.exe is an unknown file in the Windows folder. The software uses ports to connect to or from a LAN or the Internet.
Winserv.exe is able to monitor applications.

External information from Paul Collins:
There are different files with the same name:

• «AKEYNAME» definitely not required. Added by the EVILBOT.C TROJAN!
• «Microsoft Security Management» definitely not required. Added by the RBOT-MJ WORM!
• «NetApp» definitely not required. Added by the SHADOWTHIEF TROJAN!
• «Win Server» definitely not required. Added by the IMISERV.A TROJAN!
• «Windows System Serivce» definitely not required.

Important: Some malware also uses the file name winserv.exe, for example TROJ_GEN.R002C0OIK18 (detected by TrendMicro), and not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen (detected by Kaspersky). Therefore, you should check the winserv.exe process on your PC to see if it is a threat. We recommend Security Task Manager for verifying your computer’s security. This was one of the Top Download Picks of The Washington Post and PC World.

Best practices for resolving winserv issues

A clean and tidy computer is the key requirement for avoiding problems with winserv. This means running a scan for malware, cleaning your hard drive using 1cleanmgr and 2sfc /scannow, 3uninstalling programs that you no longer need, checking for Autostart programs (using 4msconfig) and enabling Windows’ 5Automatic Update. Always remember to perform periodic backups, or at least to set restore points.

Should you experience an actual problem, try to recall the last thing you did, or the last thing you installed before the problem appeared for the first time. Use the 6resmon command to identify the processes that are causing your problem. Even for serious problems, rather than reinstalling Windows, you are better off repairing of your installation or, for Windows 8 and later versions, executing the 7DISM.exe /Online /Cleanup-image /Restorehealth command. This allows you to repair the operating system without losing data.

To help you analyze the winserv.exe process on your computer, the following programs have proven to be helpful: ASecurity Task Manager displays all running Windows tasks, including embedded hidden processes, such as keyboard and browser monitoring or Autostart entries. A unique security risk rating indicates the likelihood of the process being potential spyware, malware or a Trojan. BMalwarebytes Anti-Malware detects and removes sleeping spyware, adware, Trojans, keyloggers, malware and trackers from your hard drive.

Other processes

wlannetservice.exe pmls.dll winrnr.dll winserv.exe wrapper.exe swch_go_service.exe ctes.exe systray.exe ducservice.exe lvprcsrv.exe nmbgmonitor.exe [all]