Решена RealtekHD: скрытый майнер и сбор логов
- Автор темы matvey12
- Дата начала
-
- Теги
- realtek hd майнер
- Статус
- Сообщения
- 3,885
- Реакции
- 2,432
Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)
Файл c:\software.log прикрепите в архиве к следующему сообщению.
Выполните скрипт в AVZ
Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe','');
QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe','');
QuarantineFile('C:\ProgramData\Microsoft\DRM\l1yeolRjct\MasterDataQ.bat','');
QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe','');
DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
DeleteFile('C:\ProgramData\Microsoft\DRM\l1yeolRjct\MasterDataQ.bat','64');
DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
DeleteSchedulerTask('Microsoft\Windows\MasterDataQ\l1yeolRjct');
DeleteSchedulerTask('Microsoft\Windows\MasterDataQ\RecoveryHosts');
DeleteSchedulerTask('Microsoft\Windows\MasterDataQ\RecoveryTask');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
ExpRegKey('HKLM', 'SOFTWARE', 'c:\software.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.- Обратите внимание: будет выполнена перезагрузка компьютера.
Файл c:\software.log прикрепите в архиве к следующему сообщению.
Выполните скрипт в AVZ
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
Происходит это и программа закрывается без выгрузки файла c:\software.log
Вложения
Последнее редактирование:
а в какое расширение должно быть
Заархивируйте.
- Сообщения
- 3,885
- Реакции
- 2,432
Тогда выложите на DropMeFiles – free one-click file sharing service и пришлите ссылку на скачивание
DropMeFiles – free one-click file sharing service
Share your pictures, send large videos, exchange music or transfer big files. No registration required. Unlimited upload/download speed.
dropmefiles.com
- Сообщения
- 3,885
- Реакции
- 2,432
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
- Сообщения
- 3,885
- Реакции
- 2,432
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Код:
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2023-08-20 22:38 - 2023-08-20 22:38 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
2023-08-20 22:38 - 2023-08-20 22:38 - 000000000 __SHD C:\Users\Матвей\AppData\Roaming\Sysfiles
2023-08-20 22:38 - 2023-08-20 22:38 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-20 22:38 - 2023-08-20 22:38 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-20 22:38 - 2023-08-20 22:38 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-20 22:38 - 2023-08-20 22:38 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
C:\ProgramData\Microsoft\DRM\l1yeolRjct
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [6010]
AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc:169D67954B [6010]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [6010]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [6010]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Factorio.lnk:14A03330FC [6010]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [6010]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Immersive Control Panel.lnk:DC8F23BC3A [6010]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [6010]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Приватный просмотр Firefox.lnk:0D60970EF4 [6010]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Приватный просмотр Firefox.lnk:59498A0733 [6010]
FirewallRules: [TCP Query User{EF17B9DB-F313-4AC3-9AA4-57A106465633}C:\users\матвей\appdata\local\discord\app-1.0.9010\discord.exe] => (Allow) C:\users\матвей\appdata\local\discord\app-1.0.9010\discord.exe => Нет файла
FirewallRules: [UDP Query User{D019E11A-1B57-4226-9B54-270D11841452}C:\users\матвей\appdata\local\discord\app-1.0.9010\discord.exe] => (Allow) C:\users\матвей\appdata\local\discord\app-1.0.9010\discord.exe => Нет файла
FirewallRules: [{03A1CC08-9958-4BD7-9599-5D704C2E33F4}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SMITE\Binaries\Win64\SmiteEAC.exe => Нет файла
FirewallRules: [{D0350DA6-4157-4757-B6AA-51C8490E24F9}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SMITE\Binaries\Win64\SmiteEAC.exe => Нет файла
FirewallRules: [{024F866E-2D0F-4241-B17F-2A3274AB8B94}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SMITE\Binaries\Win32\SmiteEAC.exe => Нет файла
FirewallRules: [{8137A4F0-A3B3-4B9D-A7D6-7CB65F16F05E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SMITE\Binaries\Win32\SmiteEAC.exe => Нет файла
FirewallRules: [TCP Query User{4441C195-809A-4018-8107-43DA1D9DF8CE}C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe => Нет файла
FirewallRules: [UDP Query User{D4D09372-F639-47BB-BF29-896DECE3C6B3}C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe => Нет файла
FirewallRules: [{DFDF481F-0E32-44CE-802D-93A2B2B20DCD}] => (Allow) F:\SteamLibrary\steamapps\common\Rust\Rust.exe => Нет файла
FirewallRules: [{C2074E94-A2BF-4F10-BE62-6B3703A9AD53}] => (Allow) F:\SteamLibrary\steamapps\common\Rust\Rust.exe => Нет файла
FirewallRules: [{61FF6E54-4B43-43D1-BD9E-7C55EB3D0A58}] => (Allow) F:\SteamLibrary\steamapps\common\Factorio\bin\x64\factorio.exe => Нет файла
FirewallRules: [{CE847C94-60A9-4F05-B709-7C2C1932745D}] => (Allow) F:\SteamLibrary\steamapps\common\Factorio\bin\x64\factorio.exe => Нет файла
FirewallRules: [TCP Query User{E569C053-FF7E-4385-9E4C-BE623261D519}C:\users\матвей\mediaget2\mediaget.exe] => (Allow) C:\users\матвей\mediaget2\mediaget.exe => Нет файла
FirewallRules: [UDP Query User{D1DAE4DA-D78F-4C90-ADA2-2A6969029D99}C:\users\матвей\mediaget2\mediaget.exe] => (Allow) C:\users\матвей\mediaget2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{99392B32-C7AE-4BC7-AC82-43584044B7F2}C:\users\матвей\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\матвей\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [UDP Query User{F254F82A-2664-4483-A8CC-9A1B4D829FE5}C:\users\матвей\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\матвей\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [{B76D59A4-23F1-4446-865C-3A2AC6126D52}] => (Allow) C:\Program Files (x86)\Overwolf\0.228.0.21\OverwolfBrowser.exe => Нет файла
FirewallRules: [{7F47705C-E720-4EAE-9D7B-5AE39E1ABA1B}] => (Allow) C:\Program Files (x86)\Overwolf\0.228.0.21\OverwolfBrowser.exe => Нет файла
FirewallRules: [{3A4D73AD-92E1-4465-BC9E-1FD2935C4563}] => (Block) C:\Program Files (x86)\Overwolf\0.228.0.21\OverwolfBrowser.exe => Нет файла
FirewallRules: [{53C7227E-BA68-406B-85F2-4010D4DDF0F0}] => (Block) C:\Program Files (x86)\Overwolf\0.228.0.21\OverwolfBrowser.exe => Нет файла
FirewallRules: [TCP Query User{FD40832A-85D4-4262-AC50-05FDA9AA8296}C:\users\матвей\appdata\roaming\utorrent web\utweb.exe] => (Block) C:\users\матвей\appdata\roaming\utorrent web\utweb.exe => Нет файла
FirewallRules: [UDP Query User{18BEF536-B0C8-4235-9780-7801947CCC97}C:\users\матвей\appdata\roaming\utorrent web\utweb.exe] => (Block) C:\users\матвей\appdata\roaming\utorrent web\utweb.exe => Нет файла
FirewallRules: [TCP Query User{D9C2B5C2-3F9C-4D37-942D-CDD108649439}C:\program files (x86)\steam\steamapps\common\smite\binaries\win32\smite.exe] => (Block) C:\program files (x86)\steam\steamapps\common\smite\binaries\win32\smite.exe => Нет файла
FirewallRules: [UDP Query User{57CD5672-67EF-44B2-8B42-90DE106BB58A}C:\program files (x86)\steam\steamapps\common\smite\binaries\win32\smite.exe] => (Block) C:\program files (x86)\steam\steamapps\common\smite\binaries\win32\smite.exe => Нет файла
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
- Статус
Похожие темы
- Закрыта
- Закрыта
