В работе очередной realtek HD audio майнер
- Автор темы MrHampter
- Дата начала
-
- Теги
- майнер realtek hd
Переводчик Google
- Сообщения
- 26,870
- Решения
- 29
- Реакции
- 14,323
Утилита не стартовала. Запустите еще раз, но по инструкции
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала
- Сообщения
- 3,957
- Реакции
- 2,473
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
- Сообщения
- 26,870
- Решения
- 29
- Реакции
- 14,323
У вас там два майнера сразу. Задание знакомо?
Шаги такие:
1. Выполнить скрипт
2. Загрузиться в безопасный режим и восстановить службы при помощи твиков в архиве (прикрепил к посту)
3. Загрузиться в обычном режиме и подготовить свежие логи FRST
Task: {4D2F6C3C-EAED-4B66-B012-7AF325CC7C1A} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [493568 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> "function Local:KfQyMFBWmKax{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$NYncQSmRmtOzmk,[Parameter(Position=1)][Type]$VQmzxdeiSI)$sHgeRfGNpXz=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+[Char](101)+''+[Char](102)+''+[Char](108)+''+[Cha (запись имеет ещё 4987 символов). <==== ВНИМАНИЕ
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
Шаги такие:
1. Выполнить скрипт
2. Загрузиться в безопасный режим и восстановить службы при помощи твиков в архиве (прикрепил к посту)
3. Загрузиться в обычном режиме и подготовить свежие логи FRST
Task: {4D2F6C3C-EAED-4B66-B012-7AF325CC7C1A} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [493568 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> "function Local:KfQyMFBWmKax{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$NYncQSmRmtOzmk,[Parameter(Position=1)][Type]$VQmzxdeiSI)$sHgeRfGNpXz=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+[Char](101)+''+[Char](102)+''+[Char](108)+''+[Cha (запись имеет ещё 4987 символов). <==== ВНИМАНИЕ
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: M\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {73C2F2B5-E5E1-468C-9200-BAB529CCED3F} - System32\Tasks\Microsoft\Windows\CheckGlobalN\RecoveryHosts => C:\ProgramData\Microsoft\MapData\A0koWEJBSqHQpdxl\CheckGlobalN.bat (Нет файла) <==== ВНИМАНИЕ Task: {F90F9734-A935-4076-9E4A-F2A869E0DBC9} - System32\Tasks\Microsoft\Windows\Setup\EOSNotify => %windir%\system32\EOSNotify.exe (Нет файла) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ CHR HKLM-x32\...\Chrome\Extension: [joiapjkjgbcljoopaenlplkfapolkdhp] CHR HKLM-x32\...\Chrome\Extension: [llcdellnofncikmhimjdbkdjgpmcjbik] S3 bits; C:\WINDOWS\System32\svchost.exe [55456 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 bits; C:\WINDOWS\SysWOW64\svchost.exe [46544 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S2 JBINNQNN; C:\ProgramData\gxvmtqzsxoix\bmpvykzsqdzh.exe [864915457 2025-11-03] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ <==== ВНИМАНИЕ S2 UsoSvc; C:\WINDOWS\system32\svchost.exe [55456 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S2 UsoSvc; C:\WINDOWS\SysWOW64\svchost.exe [46544 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 dosvc; C:\WINDOWS\System32\svchost.exe [55456 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 dosvc; C:\WINDOWS\SysWOW64\svchost.exe [46544 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 wuauserv; C:\WINDOWS\system32\svchost.exe [55456 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [46544 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) ContextMenuHandlers1_S-1-5-19: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла ContextMenuHandlers4_S-1-5-19: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла ContextMenuHandlers5_S-1-5-19: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла ContextMenuHandlers1_S-1-5-20: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла ContextMenuHandlers4_S-1-5-20: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла ContextMenuHandlers5_S-1-5-20: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла ContextMenuHandlers1_S-1-5-21-716833110-3212236559-2917348660-1002: [ kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Сергей\AppData\Local\Kingsoft\WPS Office\12.2.0.21931\office6\kwpsmenushellext64.dll -> Нет файла ContextMenuHandlers4_S-1-5-21-716833110-3212236559-2917348660-1002: [ kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Сергей\AppData\Local\Kingsoft\WPS Office\12.2.0.21931\office6\kwpsmenushellext64.dll -> Нет файла StartPowerShell: Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe" Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\Windows Tasks Service\winserv.exe" Remove-MpPreference -ExclusionPath "C:\WINDOWS" Remove-MpPreference -ExclusionPath "C:\Users\D899~1\AppData\Local\Temp\files" Remove-MpPreference -ExclusionPath "C:\Users\D899~1\AppData\Local\Temp\OInstallLite.exe" Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile" Remove-MpPreference -ExclusionPath "C:\Users\Сергей" Remove-MpPreference -ExclusionExtensions ".exe" Remove-MpPreference -ExclusionExtensions ".sys" EndPowershell: Hosts: EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
первый лог выполнялся в безопасном режиме, потому что иначе FRSL не запускался, второй - в обычном. реестр восстановил, теперь больше не появляется консоль и пропускает на сайты с антивирусами (протестировал на сайте dr. web)
Последнее редактирование:
в каком смысле свежие? просто это два последних, которые были выполнены