Решена Вирус realtek hd не дает зайти в Program data, закрывает диспетчер

Статус
В этой теме нельзя размещать новые ответы.
Mironov125

Mironov125

Новый пользователь
Сообщения
11
Реакции
1
Доброго времени суток! Решил проверить пк на майнеры, вирусы и по запросу «майнер» в браузере - он его закрыл, как и диспетчер. Сразу понял, что есть вирусы. Закрывает папку с реалтек. Через FRST сделал лог
 

Вложения

  • FRST.txt
    117.7 KB · Просмотры: 3
Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела.
 
Sandor написал(а):
Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела.
Нажмите для раскрытия...
После окончания работы программы и ее перезагрузки - не видит флеш-карту на которой автологер сохранен и просит отформатировать
 
Не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

То есть, AVbr вы запускали с флешки, верно? Его отчет AV_block_remove_дата-время.log не сохранился?
Скачайте Автологер ещё раз (уже на жесткий диск), запустите и после его работы прикрепите нужный архив.
 
Да. Он удалял там скрытого пользователя, а после перезапуска вообще не принимает флешку. Ни пк, ни ноутбук. Сейчас попробую
 
Вот логи, все исправил по правилам
 

Вложения

  • AV_block_remove_2024.02.08-00.25.log
    7.1 KB · Просмотры: 1
  • CollectionLog-2024.02.08-00.33.zip
    97.4 KB · Просмотры: 1
Последнее редактирование:
Опять не прикрепился :)
 
времени половина первого ночи, мб сам уже троить начинаю, извиняюсь :3
 
Логи прикрепляйте, пожалуйста, к очередному сообщению, а не к предыдущему.

Продолжим:
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Adobe Flash Player 32 PPAPI
Нажмите для раскрытия...

Если DAEMON Tools Lite используете только для монтирования образов, можете деинсталлировать. Начиная с 10 версии система это умеет без дополнительных программ (ПКМ на ISO файле - Подключить).

Далее соберите новые логи FRST:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
прикрепляю
 

Вложения

  • Addition.txt
    70.7 KB · Просмотры: 1
  • FRST.txt
    38 KB · Просмотры: 1
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3605790398-2540639964-3014161844-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
S3 cpuz154; \??\C:\WINDOWS\temp\cpuz154\cpuz154_x64.sys [X] <==== ВНИМАНИЕ
2024-02-06 22:35 - 2024-02-06 22:35 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
Unlock: C:\Users\MiRon\OneDrive\Рабочий стол\AV_block_remover
Unlock: C:\Users\MiRon\OneDrive\Рабочий стол\AutoLogger
2024-02-06 22:35 - 2024-02-06 22:35 - 000000000 ____D C:\Program Files\7-Zip
AlternateDataStreams: C:\WINDOWS\Temp:DeviceUUID [64]
AlternateDataStreams: C:\Users\MiRon:Heroes & Generals [38]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log:F107EE40EF [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer10.log:CCC93B07B0 [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer10.log_backup1:AD433BF298 [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer11.log:72C8986B20 [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer11.log_backup1:97A90964FA [3442]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer14.log_backup1:D61270D3FD [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word 2016.lnk:65270D1A26 [3442]
AlternateDataStreams: C:\Users\MiRon\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\MiRon\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6618]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp: 
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Готово
 

Вложения

  • Fixlog.txt
    7.2 KB · Просмотры: 1
Хорошо, ещё один скрипт удалит лишние исключения Защитника:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 
+++
 

Вложения

  • Fixlog.txt
    2.3 KB · Просмотры: 1
Последнее редактирование:
Проблема решена?
 
Вроде всё отлично работает и ничего не закрывает. Хочу выразить огромную благодарность за помощь в данном вопросе!!! Очень сильно выручили. Можно закрывать тему. Еще раз огромное СПАСИБО
 
Отлично! Только проделайте, пожалуйста, завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу