Решена майнер jonh ReaItek HD

[vik7]

Помогите почистить от вредоносного ПО.
Обнаружил что система в простое грузиться на максимум, обнаружил в системе это: ReaItekHD,WindowsTask,Windows Tasks Service. В безопасном режиме запустил AV block remover ошибка!, но когда запускаю диспечер задач, первую секунду проц загружен на 60%, после спадает на минимум. и диспетчер закрывался. но я поудалял скрытие папки в програм файс и програм 86, с названиями антивирусов. и скачал Malwarebytes он вроде чтото там нашел. запустил пока есет онлайн
но ваша фишка не грузит..ошибка...это новый майнер? или усовершенствовали?

 

[vik7]

оно удалило ветку пользователей? как вернутиь спасибо!

 

[Sandor]

Здравствуйте!

В безопасном режиме запустил AV block remover ошибка!

Из какой папки его запускаете? Переименовать AVbr.exe -> A-v-br.exe пробовали?

 

[vik7]

сам автозапуск удалил в ветке реестра на автозапуск.

Здравствуйте!


Из какой папки его запускаете? Переименовать AVbr.exe -> A-v-br.exe пробовали?

там имя нетакое

 

[vik7]

я так понял ваша прога помоглабы но оно не стартует даже( вот нехорошие люди такое пишут( и причем есть антивирус но не работает они его блокируют(

 

[Sandor]

Вы утилиту запускаете из системы или из LiveUSB?
Или просто с флешки? Если из системы и с флешки, попробуйте скопировать на жесткий диск и запустить.

 

[vik7]

Вы утилиту запускаете из системы или из LiveUSB?
Или просто с флешки? Если из системы и с флешки, попробуйте скопировать на жесткий диск и запустить.

не щас из рабочей системы б вот на диске локальном

 

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[vik7]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

вот

 

[Sandor]

• Выделите следующий код:
  
  Start::
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (No File) <==== ATTENTION
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction <==== ATTENTION
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\Policies\Explorer: [DisallowRun] 1
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\Policies\Explorer\DisallowRun: [New Value #1] taskhostw.exe
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\MountPoints2: {ba0ac7b8-2f47-11ec-9cf6-0cdd242d0725} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\MountPoints2: {ba0ac7c5-2f47-11ec-9cf6-0cdd242d0725} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\MountPoints2: {ba0ac819-2f47-11ec-9cf6-0cdd242d0725} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\MountPoints2: {ba0ac86d-2f47-11ec-9cf6-0cdd242d0725} - "F:\HiSuiteDownLoader.exe" 
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После перезагрузки пробуйте запустить AVbr.
Если получится, отчёт AV_block_remove_дата-время.log тоже прикрепите к следующему сообщению.

 

[Sandor]

+
Если запомнили что скачивали и устанавливали перед появлением проблемы, сообщите, пожалуйста.

 

[vik7]

• Выделите следующий код:
  
  Start::
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (No File) <==== ATTENTION
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction <==== ATTENTION
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\Policies\Explorer: [DisallowRun] 1
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\Policies\Explorer\DisallowRun: [New Value #1] taskhostw.exe
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\MountPoints2: {ba0ac7b8-2f47-11ec-9cf6-0cdd242d0725} - "F:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\MountPoints2: {ba0ac7c5-2f47-11ec-9cf6-0cdd242d0725} - "F:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\MountPoints2: {ba0ac819-2f47-11ec-9cf6-0cdd242d0725} - "F:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\MountPoints2: {ba0ac86d-2f47-11ec-9cf6-0cdd242d0725} - "F:\HiSuiteDownLoader.exe"
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После перезагрузки пробуйте запустить AVbr.
Если получится, отчёт AV_block_remove_дата-время.log тоже прикрепите к следующему сообщению.

оно все подчистило? или груповые политики повреждены не может востановить?

 

[vik7]

+
Если запомнили что скачивали и устанавливали перед появлением проблемы, сообщите, пожалуйста.

е****й kms) KMSAuto++ Portable 1.7.9 by Ratiborus.zip могу дать на разведку)))

 

[Sandor]

После перезагрузки пробуйте запустить AVbr.

Пробовали?

 

[Sandor]

могу дать на разведку)))

Упакуйте с паролем virus и залейте на облако. Ссылку на скачивание отправьте мне личным сообщением, пожалуйста.

 

[vik7]

• Выделите следующий код:
  
  Start::
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (No File) <==== ATTENTION
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction <==== ATTENTION
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\Policies\Explorer: [DisallowRun] 1
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\Policies\Explorer\DisallowRun: [New Value #1] taskhostw.exe
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\MountPoints2: {ba0ac7b8-2f47-11ec-9cf6-0cdd242d0725} - "F:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\MountPoints2: {ba0ac7c5-2f47-11ec-9cf6-0cdd242d0725} - "F:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\MountPoints2: {ba0ac819-2f47-11ec-9cf6-0cdd242d0725} - "F:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-2535748436-2636882916-2888472683-1001\...\MountPoints2: {ba0ac86d-2f47-11ec-9cf6-0cdd242d0725} - "F:\HiSuiteDownLoader.exe"
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После перезагрузки пробуйте запустить AVbr.
Если получится, отчёт AV_block_remove_дата-время.log тоже прикрепите к следующему сообщению.

ОГО))) пошло на запуск ю вы помогли пасибо добрый человек!

 

[vik7]

вопрос к знатокам. все уже норм? то что нет ветки пользователи в управлении компом норм?
The Local Users and Groups option is available on Windows Pro, Enterprise, and Server editions. Windows 11 Home does not include the tool. So make sure to verify the edition of Windows installed on your system. If you have the Home edition, you might consider upgrading to the Pro edition to get advanced user and group management capabilities.
это фича про версии? у меня хоум нет такого?

 

[Sandor]

пробуйте запустить AVbr.
Если получится, отчёт AV_block_remove_дата-время.log тоже прикрепите к следующему сообщению.

Ждём.

Затем - Правила оформления запроса о помощи

 

[vik7]

Ждём.

Затем - Правила оформления запроса о помощи

а да не тот скинул ща. спс за помощ

 

[Sandor]

Затем - Правила оформления запроса о помощи

Подразумевается архив CollectionLog, собранный с помощью Автологера.