Fruktozavr
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
Добрый вечер поймал вирусы в виде taskhostw.exe realtek hd audio audiodg запустил AV block remover и autologger логи прилагаю Подскажите какие действия мне проделать дальше ? win 10
Решена taskhostw.exe realtek hd audio audiodg
- Автор темы Fruktozavr
- Дата начала
- Статус
- Сообщения
- 16,837
- Решения
- 1
- Реакции
- 3,516
Здравствуйте!
AVbr в целом справился, дочистим некоторые хвосты.
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
"Пофиксите" в HijackThis только следующие строки:
Перезагрузите компьютер.
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
AVbr в целом справился, дочистим некоторые хвосты.
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
"Пофиксите" в HijackThis только следующие строки:
Код:
O4 - HKLM\..\StartupApproved\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe (file missing) (2022/12/20)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O26 - Debugger: HKLM\..\FlashCenterService.exe: [Debugger] = 6af4c854-9f69-4a69-b953-c28b73de31ee.exe (file missing)
O26 - Debugger: HKLM\..\FlashHelperService.exe: [Debugger] = 23f646e8-684b-43fa-bf9d-131eeeec53c8.exe (file missing)Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Fruktozavr
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
В HijackThis пофиксил, перезагрузил, вот логи
На счет флеш плеера, я его устанавливал давно, и не думаю что в нем какая то проблема, он используется хоть и не поддерживается, в браузере макстрон, тобишь позволяет запускать браузерную игру в браузере, без него не будет работать, как бы странно не звучало игра в браузере продолжает работать лучше, чем в клиенте от разработчика.
Напишу сразу как было, я искал такую проблему и нашел что можно переиминовать папку с вирусом и тогда он не будет блокировать программу, собсвенно сделам это удалось запустить AVBR и после этого я уже наткнулся на форум и решил уточнить что делать дальше, собсвенно вопрос еще такой др веб нашел этот вирус и якобы его удалил, но переходя в эту папку она по прежнему скрыта и пишет что в ней находится 1 скрытый файл, хотя drweb находил в ней 2 файла и якобы их удалял
На счет флеш плеера, я его устанавливал давно, и не думаю что в нем какая то проблема, он используется хоть и не поддерживается, в браузере макстрон, тобишь позволяет запускать браузерную игру в браузере, без него не будет работать, как бы странно не звучало игра в браузере продолжает работать лучше, чем в клиенте от разработчика.
Напишу сразу как было, я искал такую проблему и нашел что можно переиминовать папку с вирусом и тогда он не будет блокировать программу, собсвенно сделам это удалось запустить AVBR и после этого я уже наткнулся на форум и решил уточнить что делать дальше, собсвенно вопрос еще такой др веб нашел этот вирус и якобы его удалил, но переходя в эту папку она по прежнему скрыта и пишет что в ней находится 1 скрытый файл, хотя drweb находил в ней 2 файла и якобы их удалял
Вложения
- Сообщения
- 16,837
- Решения
- 1
- Реакции
- 3,516
C:\Users\Fruktoza\Desktop\AVbr v1.0.0.0 - странное имя папки. Переименовывали самостоятельно?
AVbr достаточно запустить в безопасном режиме и он должен сработать.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
Для Хрома есть расширение, позволяющее запустить флеш-содержимое в браузере. Возможно и для Макстона есть подобное.
AVbr достаточно запустить в безопасном режиме и он должен сработать.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: Folder: C:\ProgramData\123 Folder: C:\ProgramData\12345 Unlock: C:\ProgramData\12345 Unlock: C:\ProgramData\123 AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3450] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access 2016.lnk:B76C4E1157 [3450] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [3450] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3450] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [3450] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook 2016.lnk:21BFFA7D5A [3450] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3450] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk:E033AD74A8 [3450] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher 2016.lnk:17B869069B [3450] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word 2016.lnk:65270D1A26 [3450] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Он содержит множество незакрытых уязвимостей и представляет тем самым угрозу.
Для Хрома есть расширение, позволяющее запустить флеш-содержимое в браузере. Возможно и для Макстона есть подобное.
Fruktozavr
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
avbr был скачан и распакован, там была старая версия, потом получилось скачать с этого форума актуальную, от этого и название такое, папки все также скрыты в 123 так же файл какой то
- Сообщения
- 16,837
- Решения
- 1
- Реакции
- 3,516
Пробуем так удалить:
Подробнее читайте в этом руководстве.
- Выделите следующий код:
Код:Start:: CloseProcesses: 2022-12-18 23:14 - 2022-12-21 12:57 - 000000000 __SHD C:\ProgramData\123 2022-12-18 23:14 - 2022-12-20 21:45 - 000000000 __SHD C:\ProgramData\12345 Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Fruktozavr
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
Скрипт будет возможность запустить только вечером, часов в 18, не повлияет это на временные отрезки в нем ?
Fruktozavr
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
Новые логи, папок больше нет
- Сообщения
- 16,837
- Решения
- 1
- Реакции
- 3,516
Если проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
Fruktozavr
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
-
- Сообщения
- 16,837
- Решения
- 1
- Реакции
- 3,516
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9005 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46304 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent v3.5.5.46304 v.3.5.5.46304 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.17.4 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.344 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 PPAPI v.32.0.0.344 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
MX5 v.5.3.8.2000 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Читайте Рекомендации после удаления вредоносного ПО
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9005 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46304 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent v3.5.5.46304 v.3.5.5.46304 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.17.4 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.344 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 PPAPI v.32.0.0.344 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
MX5 v.5.3.8.2000 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Читайте Рекомендации после удаления вредоносного ПО
Fruktozavr
Новый пользователь
- Сообщения
- 9
- Реакции
- 0
Спасибо, решил проверить ноутбук, на нем тоже эта шляпа, запустил Avbr, можно ли в этой теме еще помочь с ним ?
- Статус
Похожие темы
- Закрыта
