Решена Проблема с вирусом майнером, скрывающимся под realtek hd

[AgentSquid]

Здравствуйте, у меня попался вирус майнер который скрывается под realtek hd. Прочитав несколько тем на этом сайте я также просканировал систему, вирус вроде удалился, прикрепляю логи

 

[Sandor]

Здравствуйте!

Вы запустили AVbr из безопасного режима но без поддержки сети

System booted up in Safe Mode (no Networking).

Запустите его ещё раз, уже из нормального режима и после перезагрузки покажите новый отчёт.

Затем соберите новый CollectionLog Автологером.

 

[AgentSquid]

Скинул

 

[Sandor]

Я просил запустить AVbr из нормального режима, а у вас опять:

System booted up in Safe Mode (no Networking).

И CollectionLog тоже соберите из нормального режима Автологером.

 

[AgentSquid]

Прошу прощения, вот

 

[Sandor]

Да, сейчас правильно, спасибо.
Только впечатление такое, что AVbr не отработал до конца. Был запрос на перезагрузку?

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[AgentSquid]

Да, сейчас правильно, спасибо.
Только впечатление такое, что AVbr не отработал до конца. Был запрос на перезагрузку?

Удалите старые и соберите новые логи FRST.txt и Addition.txt

Я его запускал обычно, ничего не трогал из галочек и ждал 20 секундного таймера, он сам стартовал. В конце писало что будет перезагрузка ПК, соответственно компьютер перезагрузился

 

[Sandor]

Сделаем небольшую очистку мусора.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [798]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [798]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [798]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [798]
  AlternateDataStreams: C:\Users\Maestro\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Maestro\Application Data:NT2 [798]
  AlternateDataStreams: C:\Users\Maestro\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Maestro\AppData\Roaming:NT2 [798]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[AgentSquid]

Сделал

 

[Sandor]

Подведём итог - проблема решена?

 

[AgentSquid]

Подведём итог - проблема решена?

Да, спасибо вам большое!

 

[Sandor]

Хорошо, в завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.