В работе очередной realtek HD audio майнер
- Автор темы MrHampter
- Дата начала
-
- Теги
- майнер realtek hd
Переводчик Google
- Сообщения
- 26,870
- Решения
- 29
- Реакции
- 14,323
Утилита не стартовала. Запустите еще раз, но по инструкции
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала
- Сообщения
- 3,957
- Реакции
- 2,473
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
- Сообщения
- 26,870
- Решения
- 29
- Реакции
- 14,323
У вас там два майнера сразу. Задание знакомо?
Шаги такие:
1. Выполнить скрипт
2. Загрузиться в безопасный режим и восстановить службы при помощи твиков в архиве (прикрепил к посту)
3. Загрузиться в обычном режиме и подготовить свежие логи FRST
Task: {4D2F6C3C-EAED-4B66-B012-7AF325CC7C1A} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [493568 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> "function Local:KfQyMFBWmKax{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$NYncQSmRmtOzmk,[Parameter(Position=1)][Type]$VQmzxdeiSI)$sHgeRfGNpXz=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+[Char](101)+''+[Char](102)+''+[Char](108)+''+[Cha (запись имеет ещё 4987 символов). <==== ВНИМАНИЕ
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
Шаги такие:
1. Выполнить скрипт
2. Загрузиться в безопасный режим и восстановить службы при помощи твиков в архиве (прикрепил к посту)
3. Загрузиться в обычном режиме и подготовить свежие логи FRST
Task: {4D2F6C3C-EAED-4B66-B012-7AF325CC7C1A} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [493568 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> "function Local:KfQyMFBWmKax{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$NYncQSmRmtOzmk,[Parameter(Position=1)][Type]$VQmzxdeiSI)$sHgeRfGNpXz=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+[Char](101)+''+[Char](102)+''+[Char](108)+''+[Cha (запись имеет ещё 4987 символов). <==== ВНИМАНИЕ
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: M\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {73C2F2B5-E5E1-468C-9200-BAB529CCED3F} - System32\Tasks\Microsoft\Windows\CheckGlobalN\RecoveryHosts => C:\ProgramData\Microsoft\MapData\A0koWEJBSqHQpdxl\CheckGlobalN.bat (Нет файла) <==== ВНИМАНИЕ Task: {F90F9734-A935-4076-9E4A-F2A869E0DBC9} - System32\Tasks\Microsoft\Windows\Setup\EOSNotify => %windir%\system32\EOSNotify.exe (Нет файла) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ CHR HKLM-x32\...\Chrome\Extension: [joiapjkjgbcljoopaenlplkfapolkdhp] CHR HKLM-x32\...\Chrome\Extension: [llcdellnofncikmhimjdbkdjgpmcjbik] S3 bits; C:\WINDOWS\System32\svchost.exe [55456 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 bits; C:\WINDOWS\SysWOW64\svchost.exe [46544 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S2 JBINNQNN; C:\ProgramData\gxvmtqzsxoix\bmpvykzsqdzh.exe [864915457 2025-11-03] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ <==== ВНИМАНИЕ S2 UsoSvc; C:\WINDOWS\system32\svchost.exe [55456 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S2 UsoSvc; C:\WINDOWS\SysWOW64\svchost.exe [46544 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 dosvc; C:\WINDOWS\System32\svchost.exe [55456 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 dosvc; C:\WINDOWS\SysWOW64\svchost.exe [46544 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 wuauserv; C:\WINDOWS\system32\svchost.exe [55456 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [46544 2023-11-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) ContextMenuHandlers1_S-1-5-19: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла ContextMenuHandlers4_S-1-5-19: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла ContextMenuHandlers5_S-1-5-19: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла ContextMenuHandlers1_S-1-5-20: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла ContextMenuHandlers4_S-1-5-20: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла ContextMenuHandlers5_S-1-5-20: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Нет файла ContextMenuHandlers1_S-1-5-21-716833110-3212236559-2917348660-1002: [ kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Сергей\AppData\Local\Kingsoft\WPS Office\12.2.0.21931\office6\kwpsmenushellext64.dll -> Нет файла ContextMenuHandlers4_S-1-5-21-716833110-3212236559-2917348660-1002: [ kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\Сергей\AppData\Local\Kingsoft\WPS Office\12.2.0.21931\office6\kwpsmenushellext64.dll -> Нет файла StartPowerShell: Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe" Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\Windows Tasks Service\winserv.exe" Remove-MpPreference -ExclusionPath "C:\WINDOWS" Remove-MpPreference -ExclusionPath "C:\Users\D899~1\AppData\Local\Temp\files" Remove-MpPreference -ExclusionPath "C:\Users\D899~1\AppData\Local\Temp\OInstallLite.exe" Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile" Remove-MpPreference -ExclusionPath "C:\Users\Сергей" Remove-MpPreference -ExclusionExtensions ".exe" Remove-MpPreference -ExclusionExtensions ".sys" EndPowershell: Hosts: EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
первый лог выполнялся в безопасном режиме, потому что иначе FRSL не запускался, второй - в обычном. реестр восстановил, теперь больше не появляется консоль и пропускает на сайты с антивирусами (протестировал на сайте dr. web)
Последнее редактирование:
в каком смысле свежие? просто это два последних, которые были выполнены
- Сообщения
- 17,705
- Решения
- 5
- Реакции
- 3,834
Теперь такой скрипт выполните (в нормальном режиме):
Подробнее читайте в этом руководстве.
Ещё раз в нормальном режиме примените твики реестра.
После этого перезагрузите компьютер и дополнительно:
Скачайте Farbar Service Scanner
Запустите.
Убедитесь, что отмечены пункты:
Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-716833110-3212236559-2917348660-1002\...\MountPoints2: {3d9e6588-3601-11f0-95d5-5c9ad868c18d} - "H:\AutoRun.exe" HKU\S-1-5-21-716833110-3212236559-2917348660-1002\...\MountPoints2: {70c13dff-2008-11e9-926a-806e6f6e6963} - "E:\Autorun.exe" HKU\S-1-5-21-716833110-3212236559-2917348660-1002\...\MountPoints2: {8c7adbbc-cc69-11ec-93f4-5c9ad868c18d} - "G:\HonorSuiteOnlineInstaller.exe" HKU\S-1-5-21-716833110-3212236559-2917348660-1002\...\MountPoints2: {9c31846e-c3bb-11ed-9448-5c9ad868c18d} - "I:\HonorSuiteOnlineInstaller.exe" HKU\S-1-5-21-716833110-3212236559-2917348660-1002\...\MountPoints2: {af777b51-0ffa-11ee-946c-5c9ad868c18d} - "H:\HonorSuiteOnlineInstaller.exe" HKU\S-1-5-21-716833110-3212236559-2917348660-1002\...\MountPoints2: {c5478c51-00f5-11ed-9405-5c9ad868c18d} - "I:\HonorSuiteOnlineInstaller.exe" HKU\S-1-5-21-716833110-3212236559-2917348660-1002\...\MountPoints2: {d85d51bb-a9a8-11ec-93ee-5c9ad868c18d} - "G:\HonorSuiteOnlineInstaller.exe" HKU\S-1-5-21-716833110-3212236559-2917348660-1002\...\MountPoints2: {e60de4e9-4306-11ed-941f-5c9ad868c18d} - "H:\HonorSuiteOnlineInstaller.exe" HKU\S-1-5-21-716833110-3212236559-2917348660-1002\...\MountPoints2: {f09824d6-585d-11ee-947f-5c9ad868c18d} - "J:\HonorSuiteOnlineInstaller.exe" FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-11-08] <==== ВНИМАНИЕ (Указывает на *.cfg файл) FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-11-08] <==== ВНИМАНИЕ C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\llcdellnofncikmhimjdbkdjgpmcjbik CHR HKLM\...\Chrome\Extension: [joiapjkjgbcljoopaenlplkfapolkdhp] CHR HKU\S-1-5-21-716833110-3212236559-2917348660-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481216 2023-11-15] (Microsoft Windows -> Microsoft Corporation) S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1535488 2023-11-15] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [570368 2023-12-13] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2023-12-13] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3456512 2023-11-15] (Microsoft Windows -> Microsoft Corporation) File: C:\WINDOWS\Team-oriented_7.29.exe 2025-10-31 08:48 - 2025-10-31 08:48 - 000000000 ___SH C:\ProgramData\tg.txt 2025-10-31 08:48 - 2025-10-31 08:48 - 000000000 ___SH C:\ProgramData\temp.txt 2025-10-30 12:59 - 2025-10-30 12:59 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll StartPowerShell: Remove-MpPreference -ExclusionExclusion ".exe" Remove-MpPreference -ExclusionExclusion ".sys" EndPowerShell: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions FirewallRules: [{B4EB4C23-F03D-41DF-AB56-9D75706C561B}] => (Allow) C:\Users\Сергей\AppData\Roaming\DRPSu\Alice\cloud.exe (DriverPack Solution) [Файл не подписан] FirewallRules: [{26D1A985-A39E-46F0-B91F-900216B9EA4C}] => (Allow) C:\Users\Сергей\AppData\Roaming\DRPSu\Alice\cloud.exe (DriverPack Solution) [Файл не подписан] FirewallRules: [{7CCBAE66-1343-46AB-9617-87C2ACF05C0B}] => (Allow) LPort=9422 FirewallRules: [{74DDCC30-1BEB-4449-A786-34F835AADD5A}] => (Allow) LPort=9245 FirewallRules: [{95D127C8-1385-4D41-BB7B-2B1582452150}] => (Allow) LPort=9246 FirewallRules: [{EF1208D1-E08E-4F02-9B26-B8A11AE39ECB}] => (Allow) LPort=9247 FirewallRules: [{C771BD4A-4D0E-44D8-98E1-BAF63BC7A117}] => (Allow) LPort=3702 FirewallRules: [{6E25B6E0-78E1-4C81-BB58-F27FC27F2355}] => (Allow) LPort=9244 FirewallRules: [{C3F802BB-58A4-4E30-9C8E-D4790BF8DDC0}] => (Allow) LPort=9444 FirewallRules: [{1EB7013F-9711-4ADE-A30F-F53470210548}] => (Allow) C:\Users\Сергей\AppData\Roaming\DRPSu\Alice\cloud.exe (DriverPack Solution) [Файл не подписан] FirewallRules: [{C4DC4AF2-D290-4671-A740-888532CC5372}] => (Allow) C:\Program Files (x86)\DriverPack Cloud\cloud.exe => Нет файла FirewallRules: [{6128BFFA-6FD2-4F24-832E-78283EA1DF50}] => (Allow) C:\Program Files (x86)\DriverPack Cloud\cloud.exe => Нет файла FirewallRules: [{C4F59FF1-3080-49AA-974C-8735393F354A}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{1742937E-A28F-45C2-9B4E-FBE5FF8ADE58}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{052DE8D4-8D47-4BB1-9DE7-CE5CFE19532B}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{13FFCC6E-C184-4DA8-BBFE-77AEE54077F3}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла StartBatch: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Code Cache\Js\*.*" del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*" del /s /q "%userprofile%\AppData\Local\Temp\*.exe" del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\nahd6ha2.default\cache2\*.*" del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\nahd6ha2.default-release\cache2\*.*" EndBatch: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ещё раз в нормальном режиме примените твики реестра.
После этого перезагрузите компьютер и дополнительно:
Скачайте Farbar Service Scanner
Запустите.
Убедитесь, что отмечены пункты:
- Internet Services
- Windows Firewall
- System Restore
- Security Center/Action Center
- Windows Update
- Windows Defender
Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.